Está en la página 1de 512

Indice - 6822A: Configuración y solución de problemas de una

Infraestructura de red de Windows Server 2008

Módulo 1: Instalación y configuración de servidores

Este módulo explica cómo identificar el escenario de uso y el tipo de instalación adecuados para un
servidor y luego, describe cómo instalar y configurar las funciones y características correspondientes del
servidor.

Módulo 2: Configuración y solución de problemas de DNS

Este módulo explica cómo configurar, administrar y solucionar problemas del servidor DNS y de las
propiedades de zona que se usarán en un entorno seguro.

Módulo 3: Configuración y administración de WINS

Este módulo explica cómo configurar, administrar y solucionar problemas con servidores WINS.

Módulo 4: Configuración y solución de problemas de DHCP

Este módulo explica cómo configurar, administrar y solucionar problemas en un entorno DHCP que de
soporte a una infraestructura IPV4.

Módulo 5: Configuración y solución de problemas de TCP/IP de IPv6

Este módulo explica cómo configurar y a solucionar problemas de direcciones IPv6 estáticas y
dinámicas, que incluyen longitudes de prefijos de subredes, puertas de enlace y servidores DNS.

Módulo 6: Configuración y solución de problemas de Enrutamiento y acceso remoto


Este módulo explica cómo configurar y solucionar los problemas de servicios de Enrutamiento y acceso
remoto.

Módulo 7: Instalación, configuración y solución de problemas del servicio de función Servidor de directivas
de redes

Este módulo explica cómo instalar, configurar y solucionar los problemas del Servicio de función del
Servidor de directivas de redes.

Módulo 8: Configuración de Protección de acceso a redes

Este módulo explica cómo configurar y administrar NAP para DHCP, VPN y 802.1X.

Módulo 9: Configuración de IPsec

Este módulo explica cómo configurar y probar IPsec.

Módulo 10: Supervisión y solución de problemas de IPsec

Este módulo explica cómo supervisar y solucionar problemas de IPsec.

Módulo 11: Configuración y administración de Sistema de archivos distribuido (DFS)

Este módulo explica cómo configurar y administrar el Sistema de archivos distribuido.

Módulo 12: Configuración y administración de Tecnologías de almacenamiento

Este módulo explica cómo configurar y solucionar problemas de las tecnologías de almacenamiento del
sistema de archivos incluido con Windows Server 2008.

Módulo 13: Configuración de la disponibilidad de recursos y contenido de red

Este módulo explica cómo describir y configurar los métodos de copia de seguridad y recuperación.

Módulo 14: Configuración del cumplimiento de seguridad del servidor

Este módulo explica cómo configurar y analizar la seguridad de los servidores y el cumplimiento con
actualizaciones de seguridad.
Módulo 1: Instalación y configuración de servidores
Módulo 1

Instalación y configuración de servidores


Este módulo explica cómo identificar el escenario de uso y el tipo de instalación adecuados para un servidor y cómo
instalar y configurar las funciones y características apropiadas del servidor.

Lección 1: Instalación de Windows Server 2008


Lección 2: Administración de funciones y características del servidor
Lección 3: Descripción general de la opción de Instalación Server Core
Laboratorio: Instalación y configuración de servidores y funciones del servidor
Lección 1: Instalación de Windows Server 2008
Lección 1:

Instalación de Windows Server 2008

La instalación de Windows Server® 2008 ha cambiado en cierto modo en comparación con las versiones anteriores de
Windows Server. Las opciones disponibles varían de una instalación simple basada en DVD al uso de archivos de
respuesta creados con Administrador de imágenes del sistema de Windows (SIM) y la implementación automática
usando el Kit de instalación automatizada de Windows (WAIK). El proceso de instalación ya no incluye la parte de
modo de texto del programa de instalación y está completamente basado en GUI. Otra diferencia es que un único DVD
de 32 bits ó 64 bits incluye las ediciones Standard, Enterprise y DataCenter. Sin embargo, la versión instalada
depende de la clave de instalación que se use durante el proceso de instalación.
Ediciones de Windows Server 2008

Ediciones de Windows Server 2008

Puntos clave

Existen cinco ediciones disponibles de Windows Server 2008. La edición que elija dependerá de los requisitos que
desee cumplir en su empresa.

Windows Server 2008 ayuda a los profesionales de tecnología de la información (TI) a aumentar la flexibilidad de la
infraestructura del servidor ofreciendo a los programadores una web más sólida y una plataforma de aplicaciones para
crear aplicaciones y servicios conectados. Las nuevas y más eficaces herramientas de administración y las mejoras en
la seguridad ofrecen más control del servidor y de la red y brindan protección avanzada para aplicaciones y datos.
Requisitos de instalación de Windows Server 2008

Requisitos de instalación de Windows Server 2008

Puntos clave

Los requisitos de instalación para Windows Server 2008 varían en los distintos tipos de instalación, principalmente
entre la instalación completa y la instalación Server Core. Server Core requiere menos espacio en disco para la
instalación del sistema operativo, ya que sólo se instalan los módulos que requieren las funciones asignadas de
manera predeterminada. Además, la GUI no se instala, por lo tanto el uso de espacio en disco es menor con la
instalación Server Core.

Nota: Si instala una versión de 64 bits, deberá asegurarse que todos los controladores modo kernel estén
firmados digitalmente antes de la instalación. La instalación no se completará si se usan controladores no
firmados.

Recursos adicionales:

Biblioteca técnica de Windows Server 2008


Observaciones de instalación x64

Observaciones de instalación x64

Puntos clave

Quizá deba incluir versiones de 64 bits de Windows Server 2008 en su infraestructura, según las necesidades de la
compañía. Por ejemplo, algunos servicios de red, tales como Exchange Server 2007, son compatibles sólo en un
entorno de producción de 64 bits y, por lo tanto, sólo será compatible con versiones de 64 bits de Windows Server
2008 que se ejecutan en una arquitectura de 64 bits.

Instalar una versión de 64 bits puede ofrecer la capacidad de escalar (aumentar CPU y RAM) más que un sistema de
32 bits, pero deberá asegurarse de que los controladores modo kernel que se usarán estén firmados digitalmente.

Recursos adicionales:

Biblioteca técnica de Windows Server 2008

Digital Signatures for Kernel Modules on Systems Running Windows Vista (Firmas digitales para módulos de
Kernel en sistemas con Windows Vista)
Escenarios frecuentes de instalación

Escenarios frecuentes de instalación

Puntos clave

Ya sea que elija actualizar un servidor existente o realizar una instalación limpia, deberá decidir cómo se realizarán las
instalaciones del servidor en su entorno. Existen rutas de actualización determinadas que deben seguirse y se pueden
llevar a cabo instalaciones desatendidas usando archivos de respuesta, SIM de Windows y AIK de Windows.

Haga una copia de seguridad de los servidores antes de realizar una actualización. La copia de seguridad debe incluir
todos los datos y la información de configuración necesarios para que el equipo funcione. Es importante hacer una
copia de seguridad de la información de configuración para los servidores, en especial aquellos que brindan
infraestructura de red, tales como los servidores de Protocolo de configuración dinámica de host (DHCP). Al hacer una
copia de seguridad, asegúrese de incluir las particiones de arranque y de sistema y los datos de estado del sistema.
Otra manera de hacer una copia de seguridad de la información de configuración es crear un conjunto de copia de
seguridad para la Recuperación automática del sistema.

Recursos adicionales:

Manual del usuario del Kit de instalación automatizada de Windows (WAIK) para Windows Vista

Guía paso a paso para la implementación de Windows Vista

Biblioteca técnica de Windows Server 2008


Preparación para la instalación de Windows Server 2008

Preparación para la instalación de Windows Server 2008

Puntos clave

Antes de instalar Windows Server 2008, debe seguir algunas instrucciones generales para asegurarse de que la
instalación sea lo más fácil posible y sin errores. La mayoría de estas instrucciones son procedimientos
recomendados para la instalación de cualquier sistema operativo de Microsoft y, por lo tanto, deben incluirse en
cualquier guía de generación que se cree para la mayoría de los entornos.

Antes de instalar Windows Server 2008, use las siguientes instrucciones para preparar la instalación:

Comprobar la compatibilidad de aplicaciones.

Desconectar dispositivos SAI (UPS).

Hacer una copia de seguridad de los servidores.

Deshabilitar el software de protección antivirus.

Ejecutar la Herramienta de diagnóstico de memoria de Windows.

Brindar controladores de almacenamiento.

Tener en cuenta que el Firewall de Windows está activado de manera predeterminada.

Preparar el entorno de Active Directory con actualizaciones de Windows Server 2008.

Recursos adicionales:

Ayuda y Soporte en la página Instalar ahora del Asistente para Instalación de Windows Server 2008
Proceso para la instalación de Windows Server 2008

Proceso para la instalación de Windows Server 2008

Puntos clave

El proceso de instalación de Windows Server 2008 es similar al de las versiones anteriores. Sin embargo, existen
diferencias que hacen al proceso más personalizable y más fácil de completar. Un cambio importante es el modelo del
programa de licencias por volumen que usa Microsoft con el producto del servidor. El modelo de licencia para licencias
por volumen es el mismo que el que usan los sistemas operativos Windows Vista.

Recursos adicionales:

Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador de
servidores de Windows Server 2008)

Windows Server 2008: Administración de servidores


Lección 2: Administración de funciones y características del servidor

Lección 2:

Administración de funciones y características del servidor

Microsoft ha cambiado la manera en que los administradores controlan el entorno del servidor. El sistema operativo se
instala de manera segura y los administradores pueden elegir entre cuatro métodos para configurar el servidor de
acuerdo con la funcionalidad deseada.

Al completar la instalación y luego de que el administrador inicie sesión en el servidor, se abrirá la ventana Tareas
iniciales de configuración y se permitirá que el administrador instale el nombre del servidor, la configuración de red, las
actualizaciones automáticas y la configuración de Firewall de Windows. Una vez usada esta herramienta, el
administrador podrá elegir si usar las Consolas de administración de Microsoft (MMC) para administrar el servidor, usar
Administrador de servidores para instalar y quitar funciones y características o usar Windows PowerShell para tareas
de configuración, si lo desea.
Herramientas usadas para Tareas administrativas

Herramientas usadas para Tareas administrativas

Puntos clave

Al completar la instalación del sistema operativo, se podrán administrar los sistemas con cuatro herramientas distintas.

Al iniciar sesión por primera vez, el administrador deberá especificar una contraseña para la cuenta administrativa y
luego visualizará la ventana Tareas iniciales de configuración. Se pueden realizar tareas de administración posteriores
usando Administrador de servidores, las ventanas típicas de la consola MMC y Windows PowerShell. La elección de la
herramienta depende de la tarea que deseen llevar a cabo los usuarios y de la experiencia que tengan de trabajar con
cada herramienta en particular.

Recursos adicionales:

Windows PowerShell 1.0 Documentation Pack

Microsoft Management Console 3.0 para Windows XP (KB907265)


¿Qué son las funciones de servidor?

¿Qué son las funciones de servidor?

Puntos clave

Las funciones del servidor en Windows Server 2008 describen la función principal de un servidor. Por ejemplo, la
función de un servidor puede ser como un servidor de Servicios de dominio de Active Directory (AD DS) o un servidor
web. Se puede elegir entre la instalación de una o varias funciones en la instalación de Windows Server 2008. La
herramienta administrativa Administrador de servidores se usa para la instalación y desinstalación de funciones del
servidor en un entorno de Windows Server 2008.

Recursos adicionales:

Biblioteca técnica de Windows Server 2008


¿Qué son las características de servidor?

¿Qué son las características de servidor?

Puntos clave

Una característica, por lo general, no describe la función principal del servidor. Por el contrario, describe la función
auxiliar o de soporte del servidor. Por lo tanto, un administrador por lo general instalará una característica no como la
función principal del servidor, sino para aumentar la funcionalidad de una función instalada. Por ejemplo, Clúster de
conmutación por error es una característica que los administradores pueden elegir instalar luego de instalar funciones
determinadas, tales como Servicios de archivo, para que esta función sea más redundante.

Recursos adicionales:

Windows Server 2008 Server Manager Technical Overview (Descripción técnica de Administrador de
servidores de Windows Server 2008)

Biblioteca técnica de Windows Server 2008


Demostración: Instalación de funciones y características del servidor
usando Administrador de servidores

Demostración: Instalación de funciones y características del servidor usando Administrador de


servidores
Lección 3: Descripción general de la opción de Instalación Server Core
Lección 3:

Descripción general de la opción de Instalación Server Core

Una opción nueva en Windows Server 2008 es la opción Server Core, que instala sólo lo necesario para tener un
servidor administrable para AD DS, AD LDS, DHCP, DNS, Servicios de archivo, impresión y/o multimedia de
transmisión por secuencias. No se encuentra disponible una interfaz gráfica con esta opción. Por el contrario, se usan
herramientas de línea de comandos y de administración remota para configurar y administrar el entorno del servidor.

Si decide instalar esta opción, la instalación no será compatible con las actualizaciones de versiones anteriores. Por lo
tanto, debe realizarse una instalación limpia. Esta opción es conveniente para varios entornos debido a la poca
administración requerida, la superficie de ataque reducida, el poco mantenimiento necesario y lo requisitos de menos
espacio en disco. La diferencia de espacio obtenida al instalar Server Core es que sólo ocupa alrededor del 25% del
espacio en disco que lo que usa una instalación Standard común.
Beneficios de la instalación Server Core

Beneficios de la instalación Server Core

Puntos clave

En Windows Server 2008, los administradores ahora pueden elegir instalar un entorno mínimo que evita la sobrecarga
adicional. Si bien esta opción limita las funciones que puede llevar a cabo el servidor, puede mejorar la seguridad y
reducir la administración. Este tipo de instalación se denomina instalación Server Core.

Las instalaciones Server Core brindan los siguientes beneficios:

Mantenimiento reducido

Superficie de ataque reducida

Administración reducida

Menos espacio en disco requerido

Recursos adicionales:

Server Core Installation Option (Opción de instalación Server Core)


Funciones del servidor compatibles con la instalación Server Core

Funciones del servidor compatibles con la instalación Server Core

Puntos clave

Una instalación Server Core es una opción de instalación del servidor mínima para Windows Server 2008. Las
instalaciones Server Core ofrecen un entorno para ejecutar las siguientes funciones del servidor:

AD DS

AD LDS

Servidor DHCP

Servidor DNS

Servicios de archivo

Servidor de impresión

Servicios multimedia de transmisión por secuencias

Virtualización de Windows Server (Hyper-V)

La opción de instalación Server Core sólo instala el subconjunto de los archivos binarios que requieren las funciones
del servidor compatibles. Por ejemplo, la interfaz de usuario (o “shell”) del Explorador de Windows no se instala como
parte de una instalación Server Core. En cambio, el símbolo del sistema es la interfaz de usuario predeterminada para
un servidor que ejecuta una instalación Server Core.

Recursos adicionales:

Server Core Installation Option (Opción de instalación Server Core)


Características compatibles con la instalación Server Core

Características compatibles con la instalación Server Core

Puntos clave

Luego de completar la instalación Server Core y de configurar el servidor, se podrán instalar una o varias
características opcionales. La instalación Server Core de Windows Server 2008 es compatible con las siguientes
características opcionales:

Copia de seguridad

Cifrado de unidad Bitlocker

Clúster de conmutación por error

Entrada/salida (E/S) de múltiples rutas

NLB

Almacenamiento extraíble

SNMP

Subsystem for UNIX-based applications

Cliente Telnet

WINS

Nota: Clúster de conmutación por error no se encuentra disponible en Windows Server 2008 Standard Edition.

Recursos adicionales:

Server Core Installation Option of Windows Server 2008 Step-By-Step Guide (Guía paso a paso de la opción
de instalación Server Core de Windows Server 2008)
Administración de la instalación Server Core

Administración de la instalación Server Core

Puntos clave

La opción de instalación Server Core está diseñada para su uso en entornos donde los requisitos de alta seguridad
precisan una superficie mínima de ataque en un servidor o en organizaciones que tienen muchos servidores y sólo
algunos necesitan llevar a cabo tareas dedicadas.

Debido a que no se encuentra disponible una interfaz gráfica de usuario para muchas operaciones de Windows, usar la
opción de instalación Server Core requiere que el administrador tenga experiencia en el uso de un símbolo del sistema
o de las técnicas de scripting para la administración local del servidor. Como alternativa, se puede administrar la
instalación Server Core con complementos MMC desde otro equipo con Windows Server 2008. Para hacerlo,
seleccione el equipo que ejecuta la instalación Server Core como un equipo remoto para administrar.

Recursos adicionales:

Server Core Installation Option (Opción de instalación Server Core)

Installation and Configuration for Windows Remote Management (Instalación y configuración para
Administración remota de Windows)
Laboratorio: Instalación y configuración de servidores y funciones del
servidor

Laboratorio: Instalación y configuración de servidores y funciones del


servidor

Objetivos

Al finalizar este laboratorio, podrá:

Describir el tipo de servidor adecuado necesario para un escenario de uso

Instalar y configurar funciones y características del servidor

Configurar Server Core y realizar tareas básicas de administración

Escenario

Deberán instalarse dos nuevos servidores para la infraestructura corporativa en el dominio WoodgroveBank.com. Los
nuevos servidores son necesarios para aumentar los servicios de resolución de nombres DNS para una compañía
adquirida recientemente, Contoso.com, y para brindar Servicios de Terminal Server para algunas aplicaciones de línea
de negocio que estarán disponibles para los empleados desde sus equipos de escritorio y desde sus hogares
después de su horario de trabajo. También será necesario instalar la capacidad de copia de seguridad para el servidor
de Terminal Services en caso de que sea necesario para la recuperación de desastres.

Por razones de seguridad, el servicio DNS debe estar disponible sólo en uno de los nuevos servidores y será
complemente administrado a través de las herramientas de administración remota luego de la configuración inicial.
Será necesario asegurarse de que la configuración de firewall en el servidor DNS sea correcta para los puertos que
deben responder a las solicitudes de resolución de nombres DNS y para la administración remota.
Ejercicio 1: Identificación de tipos de servidor

Ejercicio 1: Identificación de tipos de servidor

Descripción general del ejercicio

En este ejercicio, analizará el escenario y responderá las siguientes preguntas relacionadas con un tipo posible de
servidor y la implementación de una función.

Pregunta: Después de leer el escenario, ¿qué tipo de instalación, Core o Standard, sería adecuada para Servicios de
Terminal Server? ¿Por qué?

Pregunta: ¿La instalación Core sería adecuada para el servidor DNS? De ser así, ¿existe algún inconveniente al
configurar el servidor para que hospede esta función?

Pregunta: ¿Qué beneficios se obtendrían usando la opción de instalación Core para la función del servidor DNS?

Pregunta: ¿Qué funciones y características se necesitan en los servidores para cumplir con los requisitos del
escenario provisto?
Ejercicio 2: Instalación y configuración de funciones y características del
servidor

Ejercicio 2: Instalación y configuración de funciones y características del servidor

En este ejercicio, se instalará la función Terminal Services y la característica Copias de seguridad usando la
herramienta administrativa Administrador de servidores.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales e iniciar sesión.

2. Asegurarse de haber completado los pasos en la Instalación del laboratorio.

3. Iniciar la consola Administrador de servidores.

4. Desde Administrador de servidores, instalar la función Terminal Services.

5. Visualizar los resultados de la instalación.

6. Instalar la característica Copias de seguridad desde la consola Administrador de servidores.

7. Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server estén
instaladas.

Tarea 1: Iniciar las máquinas virtuales e iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.

2. En el Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En el Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Iniciar la consola Administrador de servidores

En NYC-SVR1, abra la consola Administrador del servidor.

Tarea 3: Desde Administrador de servidores, instalar la función Terminal Services

1. Instale la función Terminal Services usando las siguientes opciones:

Funciones del servidor: Terminal Services

Servicios de funciones: Terminal Server

Método de autenticación: No necesita autenticación de nivel de red

Modo de licencia: Configurar más tarde

Grupos de usuarios: Administradores

2. Reinicie según sea necesario.

Tarea 4: Visualizar los resultados de la instalación

1. Inicie sesión en NYC-SVR1 con el nombre de usuario Woodgrovebank\administrador y la contraseña


Pa$$w0rd.

Una vez que haya iniciado sesión correctamente, se abrirá Administrador del servidor y se reanudará la configuración
de Servicios de Terminal Server.
2. Cuando haya finalizado, aparecerá Instalación exitosa en el panel de detalles. Haga clic en Cerrar para salir
de la página Resultados de la instalación. No cierre Administrador del servidor.

Tarea 5: Instalar la característica Copias de seguridad desde la consola Administrador de servidores

1. En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características y
luego haga clic en Agregar características. Aparecerá Asistente de Agregar características.

2. Instale la opción Características de copia de seguridad de Windows Server.

3. En la página Resultados de instalación, compruebe que aparezca Instalación correcta en el panel de


detalles y luego haga clic en Cerrar. No cierre Administrador del servidor.

La característica Copia de seguridad de Windows Server está instalada.

Tarea 6: Comprobar que las herramientas Terminal Services y Copias de seguridad de Windows Server estén instaladas

1. En el panel de la lista de Administrador del servidor, compruebe que Administrador del servidor
(NYC-SVR1) esté seleccionado.

2. Usando la barra de desplazamiento en el panel de detalles, desplácese hacia abajo hasta visualizar Resumen
de funciones y compruebe que Terminal Services aparezca en la lista.

3. Desplácese hacia abajo hasta Resumen de características y compruebe que aparezca Copia de seguridad
de Windows Server.

4. Cierre Administrador del servidor.


Ejercicio 3: Configuración de Server Core y realización de Tareas básicas
de administración

Ejercicio 3: Configuración de Server Core y realización de Tareas básicas de administración

En este ejercicio, configurará una instalación Core de Windows Server 2008 e instalará la función del servidor DNS
usando herramientas de línea de comandos. Luego se conectará al servidor Core desde un equipo remoto de
Windows Server 2008 usando una MMC personalizada para configurar la función del servidor DNS.

Las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1 deben estar ejecutándose para completar este ejercicio.
Asegúrese de iniciar las máquinas virtuales antes de comenzar con este ejercicio.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar la máquina virtual 6822A-NYC-SVR2.

2. Iniciar sesión en la instalación Server Core.

3. Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core.

4. Conectar el servidor al dominio Woodgrovebank.com.

5. Iniciar sesión en la instalación Server Core.

6. Comprobar la configuración de firewall.

7. Usar el comando netsh para abrir puertos.

8. Visualizar el estado actual de las funciones e instalar la función del servidor DNS.

9. Administrar el servidor usando Administrador DNS desde un equipo remoto.

10. Cerrar todas las máquinas virtuales y eliminar los cambios.

Tarea 1: Iniciar la máquina virtual 6822A-NYC-SVR2

1. Restaure la ventana Iniciador de laboratorio.

2. En el Iniciador de laboratorio, junto a 6822A-NYC-SVR2, haga clic en Iniciar.

3. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Iniciar sesión en la instalación Server Core

Inicie sesión en NYC-SVR2 como Administrador usando la contraseña Pa$$w0rd.

Tarea 3: Usar herramientas de línea de comandos para establecer parámetros en la máquina virtual Server Core

Nombre del equipo=NYC-DNSSVR2

Dirección IP=10.10.0.12

Máscara=255.255.0

Puerta de enlace=10.10.0.1

DNS=10.10.0.10

1. Para determinar el nombre de equipo predeterminado asignado actualmente, escriba set en la ventana de
comandos.

2. Busque el atributo del nombre de equipo y escríbalo.

3. Para cambiar el nombre de equipo, escriba el siguiente comando y luego presione ENTRAR:

Netdom renamecomputer NYC-SVR2 /NewName:NYC-DNSSVR2


4. Escriba y para sí cuando se le solicite y luego presione ENTRAR.

5. En la ventana del comando, escriba el siguiente comando para establecer la dirección IP estática: Netsh
interface ipv4 set address name=“conexión de área local” static 10.10.0.12 255.255.0.0 10.10.0.1 y
luego presione ENTRAR.

6. En la ventana del comando, escriba el siguiente comando para establecer el servidor DNS principal y luego
presione ENTRAR:

Netsh interface ip set dnsserver “conexión de área local” static 10.10.0.10 primary

7. En el símbolo del sistema, escriba ipconfig /all y luego presione ENTRAR para comprobar la asignación de
direcciones IP.

8. En el teclado, presione Alt derecho + Suprimir.

9. Elija reiniciar el equipo haciendo clic en Opciones de cierre en el panel derecho inferior de la ventana y luego
haga clic en Reiniciar.

10. En la ventana Apagar seguidor de eventos, haga clic en Sistema operativo: Reconfiguración (Planeada)
y luego haga clic en Aceptar. El servidor se reiniciará.

11. Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.

Tarea 4: Conectar el servidor al dominio Woodgrovebank.com

1. En la ventana del comando, escriba el siguiente comando y luego presione ENTRAR.

netdom join NYC-DNSSVR2 /domain:WoodgroveBank.com /Userd:Administrador /passwordD:*

2. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

Pa$$w0rd

Nota: La pulsación de teclas no se reflejará en la pantalla. Recibirá un mensaje indicando que el comando se ha
completado correctamente y que debe reiniciar el equipo.

3. En el símbolo del sistema, presione Alt derecho + Suprimir, haga clic en el icono Apagar opciones y luego en
Reiniciar. Aparecerá el cuadro de diálogo Apagar Windows.

4. En el cuadro Opción del cuadro de diálogo Apagar Windows, haga clic en Sistema operativo:
Reconfiguración (Planeada) y luego haga clic en Aceptar.

Tarea 5: Iniciar sesión en la instalación Server Core

Inicie sesión en el servidor con el nombre de usuario Administrador, usando la contraseña Pa$$w0rd.

Tarea 6: Comprobar la configuración de firewall

Use el comando netsh para visualizar la configuración actual de firewall. En la ventana del comando, escriba el
siguiente comando y luego presione ENTRAR:

Netsh firewall show state.

Nota: Observe que el Estado de firewall muestra que el Modo funcional está establecido en Habilitar. Esto significa
que el Firewall de Windows está habilitado pero que no se han abierto puertos específicos.

Tarea 7: Usar el comando Netsh para abrir puertos

1. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening ALL 53 DNS-server

2. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening TCP 135 remote-admin


3. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening UDP 137 netbios-ns

4. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening UDP 138 netbios-dgm

5. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening TCP 139 netbios-ssn

6. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall add portopening TCP 445 netbios-ns

7. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

netsh firewall show config.

Nota: Observe que en Servicio de configuración para perfil de dominio, los servicios Archivo y Compartir impresora y
Escritorio remoto se establecen en habilitar y se abren los puertos 53 de TCP y UDP para el servidor DNS.

Tarea 8: Visualizar el estado actual de las funciones e instalar la función del servidor DNS

1. En la ventana del símbolo del sistema, en el símbolo del sistema, escriba el siguiente comando y luego
presione ENTRAR:

oclist

Nota: Compruebe que no haya funciones del servidor instaladas.

2. Use los comandos Ocsetup.exe y oclist para instalar el servidor DNS. Para hacerlo, en el símbolo del sistema
escriba el siguiente comando y luego presione ENTRAR:

start /w ocsetup DNS-Server-Core-Role

Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.

3. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTRAR:

oclist

Nota: Compruebe que Servidor-DNS-Core-Función esté instalado.

Tarea 9: Administrar el servidor usando Administrador DNS desde un equipo remoto

1. En NYC-DC1, abra la consola Administrador DNS.

2. Desde la consola DNS, conéctese a NYC-DNSSVR2.

3. Use la consola DNS para crear una zona de búsqueda directa para Contoso.com:

1. En el panel del árbol Consola raíz de Administrador DNS, expanda NYC-DNSSVR2 y luego haga clic en
Reenviar zonas de búsqueda.

2. Haga clic con el botón secundario en Reenviar zonas de búsqueda luego haga clic en Nueva zona.

3. Haga clic en Siguiente en la página de Bienvenida al asistente de nueva zona.

4. Haga clic en Siguiente en el cuadro de diálogo Tipo de zona usando la configuración predeterminada para
crear una Zona principal.

5. En la ventana Nombre de zona, escriba Contoso.com y luego haga clic en Siguiente.

6. Haga clic en Siguiente para aceptar el nombre predeterminado para el archivo de zona DNS.

7. En la ventana Actualización dinámica, haga clic en Siguiente para aceptar la configuración predeterminada.
8. En el cuadro de diálogo Completar asistente de nueva zona, haga clic en Finalizar para crear la nueva zona.

9. Cierre la consola Administrador DNS.

Tarea 10: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.

2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. Si su organización planea un proyecto de virtualización a gran escala para consolidar múltiples servidores en
unos pocos servidores a gran escala, ¿qué versión de Windows sería la más adecuada para este proyecto y
por qué?

2. ¿Cuáles son los beneficios principales de usar la instalación Core para una versión Windows Server 2008?

3. Es responsable de varias aulas en una institución educativa. Las actualizaciones de imagen del sistema
operativo de escritorio se realizan semanalmente y abarcan alrededor de 300 equipos. ¿Qué tipo de esquema
de licencia por volumen funcionaría mejor (Servidor KMS o MAK) y por qué?

4. ¿Cuál es la diferencia entre una función y una característica? ¿Cómo se instala cada una?

Observaciones para la instalación de Windows Server 2008

Tenga en cuenta lo siguiente antes de instalar Windows Server 2008:

Puede instalar Windows Server 2008 sólo en equipos que usan Interfaz avanzada de configuración y energía
(ACPI).

No se puede especificar un archivo personalizado de nivel de aplicación de hardware (HAL) con Windows
Server 2008.

El Firewall de Windows está habilitado de manera predeterminada. Las aplicaciones del servidor que deben
recibir conexiones entrantes no solicitadas no funcionarán correctamente hasta que se creen las reglas de
firewall de entrada que las permitan.

La directiva obligatoria de firma de código de modo kernel se aplica a todos los software de modo kernel en los
sistemas basados en x64 con Windows Server 2008.

No se puede actualizar una versión anterior de Windows Server a una instalación Core. Debe realizarse una
instalación limpia.

Procedimientos recomendados para la instalación de Windows Server 2008

Usar siempre controladores modo kernel firmados cuando estén disponibles. Esto es obligatorio para las instalaciones
x64.

Instalar únicamente las funciones y características requeridas según el propósito deseado del servidor.
Permitir únicamente las conexiones entrantes que requieren las funciones y características instaladas en un
servidor determinado.

Habilitar Escritorio remoto para los administradores en instalaciones Core. El shell será el símbolo del sistema
para las conexiones de terminales realizadas.

Herramientas

Herramienta Usar para Dónde encontrarla


Administración local y remota para todas las Haga clic en Inicio y luego elija Herramientas
Microsoft funciones y características instaladas en administrativas. Seleccione una herramienta
Management Windows Server 2008. preconfigurada o escriba MMC en el cuadro
Console Ejecutar para crear una consola MMC personalizada
basada en los complementos especificados.
Configuración inicial del servidor. Las tareas ICT se inicia cuando el administrador inicia sesión en
incluyen nombre de equipo, actualizaciones la instalación de Windows Server 2008.
Tareas iniciales
automáticas, funciones, características,
de configuración
configuración de firewall y configuración de
escritorio remoto.
Haga clic en Inicio y luego elija Herramientas
Administración y mantenimiento de la
Administrador de administrativas. Seleccione Administrador de
instalación y desinstalación de funciones y
servidores servidores de las herramientas administrativas
características.
disponibles.
Módulo 2: Configuración y solución de problemas de DNS
Módulo 2

Configuración y solución de problemas de DNS


Este módulo explica cómo configurar, administrar y solucionar problemas del servidor de Sistema de nombres de
dominio (DNS) y las propiedades de zona para su uso en un entorno seguro.

Lección 1: Instalación de la función del servidor DNS


Lección 2: Configuración de la función del servidor DNS
Lección 3: Configuración de zonas DNS
Lección 4: Configuración de transferencias de zona DNS
Lección 5: Administración y solución de problemas de DNS
Laboratorio: Configuración y comprobación de una solución DNS
Lección 1: Instalación de la función del servidor DNS
Lección 1:

Instalación de la función del servidor DNS

La función del servidor DNS es un componente esencial de una infraestructura de dominio de Windows Server® 2008.
Esta lección brinda información acerca de la función DNS y el funcionamiento del espacio de nombres DNS. Además,
esta lección brinda detalles acerca de los cambios en la función DNS para Windows Server 2008® e identifica las
observaciones para implementar dicha función.
Descripción general de la función Sistema de nombres de dominio

Descripción general de la función Sistema de nombres de dominio

Puntos clave

DNS es un servicio de resolución de nombres que resuelve nombres en números. El servicio DNS es una base de
datos distribuida jerárquica. Esto significa que la base de datos se encuentra lógicamente dividida, lo que permite que
muchos servidores diferentes hospeden la base de datos mundial de nombres DNS.

Material de lectura adicional

Introducción a DNS

Understanding zones and zone transfer (Comprensión de zonas y transferencias de zona)


Descripción general del espacio de nombres DNS

Descripción general del espacio de nombres DNS

Puntos clave

El espacio de nombres DNS simplifica la forma en que un cliente DNS busca un equipo. Está organizado
jerárquicamente o en niveles para distribuir la información en muchos servidores.

Material de lectura adicional

Planear el espacio de nombres de DNS

Designing a DNS Namespace (Diseño de un espacio de nombres DNS)


Mejoras en DNS para Windows Server 2008

Mejoras en DNS para Windows Server 2008

Puntos clave

Notará algunas de las ventajas de usar Windows Server 2008 con las nuevas características que incluye para la función
del servidor DNS. Estas características incluyen la carga de zonas en segundo plano, compatibilidad con IPv6,
compatibilidad con controladores de dominio de sólo lectura y nombres únicos globales.

Material de lectura adicional

Novedades de DNS en Windows Server 2008

AD DS: Controladores de dominio de sólo lectura

Función del servidor DNS


Demostración: Instalación de la función del servidor DNS

Demostración: Instalación de la función del servidor DNS


Observaciones para la implementación de la función del servidor DNS

Observaciones para la implementación de la función del servidor DNS

Puntos clave

La función del servidor DNS es crítica en la configuración de Active Directory y de la infraestructura de red de
Windows. Si se planea implementar DNS, deben considerarse varias observaciones:

Planeación de la capacidad del servidor

Dónde ubicar los servidores DNS

Disponibilidad del servicio

Material de lectura adicional

Tema de Ayuda: Planeación de servidores DNS


Lección 2: Configuración de la función del servidor DNS
Lección 2:

Configuración de la función del servidor DNS

La infraestructura DNS es la base para la resolución de nombres en Internet y en los dominios de Active Directory de
Windows Server 2008. Esta lección brinda orientación e información acerca de los requisitos para configurar la función
del servidor DNS y explica las funciones básicas de un servidor DNS.
¿Cuáles son los componentes de una solución DNS?

¿Cuáles son los componentes de una solución DNS?

Puntos clave

Los componentes de una solución DNS incluyen servidores DNS, servidores DNS en Internet y clientes DNS.

Material de lectura adicional

Definición de DNS

Características de servidor

Características de cliente

Función del servidor DNS


Registros de recursos DNS

Registros de recursos DNS

Puntos clave

El archivo de zona DNS almacena registros de recursos. La lección siguiente analiza los archivos de zona más
detalladamente. Los registros de recursos especifican un tipo de recurso y la dirección IP para buscar el recurso. El
registro de recursos más común es el registro de recursos A. Se trata de un registro simple que hace coincidir un
nombre de host con una dirección IP. El host puede ser una estación de trabajo, un servidor u otro dispositivo de red
como un enrutador.

Material de lectura adicional

Referencia de los registros de recursos


¿Qué son las sugerencias de raíz?

¿Qué son las sugerencias de raíz?

Puntos clave

Las sugerencias de raíz conforman la lista de los 13 servidores en Internet que la Autoridad de números asignados de
Internet (IANA, Internet Assigned Numbers Authority) conserva y que el servidor DNS usa si no puede resolver una
consulta DNS usando un reenviador DNS o su propia memoria caché. Las sugerencias de raíz son los servidores que
se encuentran más alto en la jerarquía DNS y pueden brindar la información necesaria para que un servidor DNS
realice una consulta iterativa al nivel inmediatamente inferior del espacio de nombres DNS.

Material de lectura adicional

Actualizar las sugerencias de raíz en el servidor DNS

Deshabilitar la recursividad en el servidor DNS


¿Qué es una consulta DNS?

¿Qué es una consulta DNS?

Puntos clave

Una consulta DNS es el método que se usa para solicitar la resolución de nombres enviando una consulta a un servidor
DNS. Existen dos tipos de consultas DNS: autoritativas y no autoritativas.

Es importante observar que los servidores DNS también pueden actuar como clientes DNS y enviar consultas DNS a
otros servidores DNS.
¿Qué son las consultas recursivas?

¿Qué son las consultas recursivas?

Puntos clave

Una consulta recursiva puede tener dos resultados posibles:

Devuelve la dirección IP del host solicitada.

El servidor DNS no puede resolver una dirección IP.

Por razones de seguridad, algunas veces resulta necesario deshabilitar las consultas recursivas en un servidor DNS. Al
hacerlo, el servidor DNS en cuestión no intentará reenviar sus consultas DNS a otro servidor. Esto puede resultar útil
cuando se desea impedir que un servidor DNS determinado se comunique fuera de su red local.
¿Qué son las consultas iterativas?

¿Qué son las consultas iterativas?

Puntos clave

Las consultas iterativas brindan un mecanismo para obtener acceso a la información de nombres de dominio que
reside en el sistema DNS y permiten a los servidores resolver nombres de manera rápida y eficaz en muchos
servidores.

Material de lectura adicional

Cómo funciona la consulta DNS


¿Qué es un reenviador?

¿Qué es un reenviador?

Puntos clave

Un reenviador es un servidor DNS de una red que reenvía consultas DNS para nombres DNS externos a los servidores
DNS fuera de dicha red. También se pueden usar reenviadores condicionales para reenviar consultas de acuerdo con
nombres de dominio específicos.

Material de lectura adicional

Microsoft TechNet: Understanding forwarders (Comprensión de reenviadores)

Tema de Ayuda: Comprensión de reenviadores

Tema de Ayuda: Uso de reenviadores


¿Qué es el reenvío condicional?

¿Qué es el reenvío condicional?

Puntos clave

Un reenviador condicional es un servidor DNS en una red que reenvía consultas DNS de acuerdo con el nombre de
dominio DNS que aparece en la consulta.
Cómo funciona el almacenamiento en caché del servidor DNS

Cómo funciona el almacenamiento en caché del servidor DNS

Puntos clave

El almacenamiento en caché de DNS aumenta el rendimiento del sistema DNS de la organización ya que reduce el
tiempo que demoran las búsquedas DNS.

Cuando un servidor DNS resuelve correctamente un nombre DNS, almacenará dicho nombre en su memoria caché.
Con el tiempo, esto genera una memoria caché de nombres de dominio y las direcciones IP asociadas de los
dominios que la organización usa o a los que obtiene acceso con mayor frecuencia.

Material de lectura adicional

Tema de Ayuda: Instalar un servidor DNS de sólo caché


Demostración: Configuración de la función del servidor DNS

Demostración: Configuración de la función del servidor DNS


Lección 3: Configuración de zonas DNS
Lección 3:

Configuración de zonas DNS

Las zonas DNS son un concepto importante en la infraestructura DNS ya que permiten que los dominios DNS se
dividan y se administren lógicamente. Esta lección brinda las bases para comprender cómo las zonas se relacionan
con los dominios DNS y brinda información acerca de los distintos tipos de zonas DNS que están disponibles en la
función DNS de Windows Server 2008.
¿Qué es una zona DNS?

¿Qué es una zona DNS?

Puntos clave

Una zona DNS hospeda todo o parte de un dominio y sus subdominios. La diapositiva muestra cómo los subdominios
pueden pertenecer a la misma zona que sus dominios primarios o delegarse a otra zona. El dominio Microsoft.com se
divide en dos zonas. La primera zona hospeda www.microsoft.com y ftp.microsoft.com. Example.microsoft.com se
delega a una nueva zona, que hospeda example.microsoft.com y sus subdominios ftp.example.microsoft.com y
www.example.microsoft.com.

Material de lectura adicional

Understanding zones and zone transfer (Comprensión de zonas y transferencias de zona)


¿Cuáles son los tipos de zona DNS?

¿Cuáles son los tipos de zona DNS?

Puntos clave

Existen cuatro tipos de zona DNS:

Principal

Secundaria

De rutas internas

Integradas en Active Directory

Material de lectura adicional

Tema de Ayuda: Comprensión de tipos de zona


¿Qué son las zonas de búsqueda directa e inversa?

¿Qué son las zonas de búsqueda directa e inversa?

Puntos clave

La zona de búsqueda directa resuelve nombres de host en direcciones IP y hospeda los registros de recursos
comunes: A, CNAMES, SRV, MX, SOA y NS.

La zona de búsqueda inversa resuelve una dirección IP en un nombre de dominio y hospeda los registros SOA, NS y
PTR.

Material de lectura adicional

Tema de Ayuda: Comprensión de tipos de zona


¿Qué son las zonas de rutas internas?

¿Qué son las zonas de rutas internas?

Puntos clave

Una zona de rutas internas es la copia de una zona que contiene sólo aquellos registros de recursos que son
necesarios para identificar los servidores DNS autoritativos de dicha zona. Una zona de rutas internas resuelve
nombres entre espacios de nombres DNS independientes, que pueden ser necesarios cuando una fusión corporativa
requiere que los servidores DNS de dos espacios de nombres DNS independientes resuelvan nombres para clientes
en ambos espacios de nombres.

Material de lectura adicional

Tema de Ayuda: Comprensión de tipos de zona


Demostración: Creación de zonas de búsqueda directa e inversa

Demostración: Creación de zonas de búsqueda directa e inversa


Delegación de zonas DNS

Delegación de zonas DNS

Puntos clave

DNS es un sistema jerárquico y la delegación de zonas conecta entre sí los niveles de DNS. Una delegación de zonas
se dirige al nivel inmediatamente inferior en jerarquía e identifica los servidores de nombres responsables del dominio
de nivel inferior.

Material de lectura adicional

Delegar zonas
Lección 4: Configuración de transferencias de zona DNS

Lección 4:

Configuración de transferencias de zona DNS

Las transferencias de zona DNS son el método mediante el que la infraestructura DNS mueve la información de zona
DNS de un servidor a otro. Esta lección describe los diferentes métodos que usa la función del servidor DNS al
transferir zonas.
¿Qué es una transferencia de zona DNS?

¿Qué es una transferencia de zona DNS?

Puntos clave

Una transferencia de zona se produce cuando la zona DNS de un servidor se transfiere a otro servidor DNS.

Las transferencias de zona mantienen sincronizadas las zonas principales y secundarias de los servidores DNS. De
este modo DNS construye su resistencia en Internet. Es importante que las zonas DNS permanezcan actualizadas en
los servidores principales y secundarios. Las diferencias entre las zonas principales y secundarias pueden causar
interrupciones del servicio y la resolución incorrecta de nombres de host.

Material de lectura adicional

Understanding zones and zone transfer (Comprensión de zonas y transferencias de zona)

Iniciar una transferencia de zona en un servidor secundario

Recargar o transferir una zona de rutas internas

Ajustar el intervalo de actualización de una zona

Ajustar el intervalo de reintento de una zona


Cómo funciona DNS Notify (Notificación DNS)

Cómo funciona DNS Notify (Notificación DNS)

Puntos clave

Una notificación DNS es una actualización a la especificación del protocolo DNS original que permite notificar a los
servidores secundarios cuando ocurren cambios de zona.

Esto resulta útil en un entorno temporal en el que la precisión de los datos es importante.
Seguridad de transferencias de zona

Seguridad de transferencias de zona

Puntos clave

La información de zona brinda datos de la organización. Por lo tanto, se deben tomar precauciones para garantizar que
se encuentre protegida contra acceso malintencionado y contra la sobreescritura con datos incorrectos (conocido
como “envenenamiento” de DNS). Un modo de proteger la infraestructura DNS es asegurar las transferencias de zona
y usar actualizaciones dinámicas seguras.

Material de lectura adicional

Tema de Ayuda: Lista de comprobación: asegurar el servidor DNS


Demostración: Configuración de transferencias de zona DNS

Demostración: Configuración de transferencias de zona DNS


Lección 5: Administración y solución de problemas de DNS
Lección 5:

Administración y solución de problemas de DNS

DNS es un servicio crucial en la infraestructura de Active Directory. Cuando el servicio DNS experimenta problemas, es
importante saber cómo solucionarlos e identificar los problemas frecuentes que pueden producirse en una
infraestructura DNS. Esta lección describe los problemas frecuentes de DNS, las áreas comunes para reunir
información DNS y las herramientas que pueden usarse para la solución de problemas.
¿Qué son tiempo de vida, caducidad y borrado?

¿Qué son tiempo de vida, caducidad y borrado?

Puntos clave

El tiempo de vida (TTL), la caducidad y el borrado ayudan a administrar los registros de recursos DNS en los archivos
de zona. Los archivos de zona pueden cambiar a través del tiempo, por lo tanto debe existir una manera de administrar
los registros DNS que se actualizan o que no son válidos porque los hosts a los que representan ya no forman parte de
la red.

Material de lectura adicional

Habilitar el borrado automático de registros de recursos obsoletos

Iniciar el borrado inmediato de registros de los recursos obsoletos

Usar la caducidad y el borrado

Tema de Ayuda: Usar la caducidad y el borrado


Demostración: Administración de registros DNS

Demostración: Administración de registros DNS


Prueba de configuración del servidor DNS

Prueba de configuración del servidor DNS

Puntos clave

En la ficha Supervisión del servidor DNS, se puede configurar una prueba que permita al servidor DNS determinar si
puede resolver consultas simples locales y realizar una consulta recursiva para garantizar que el servidor pueda
comunicarse con los servidores que preceden en la cadena.
Herramientas que identifican los problemas de DNS

Herramientas que identifican los problemas de DNS

Puntos clave

Pueden ocurrir problemas cuando no se configura adecuadamente el servidor DNS, sus zonas y sus registros de
recursos. Cuando los registros de recursos causan problemas, algunas veces puede resultar más difícil identificarlos
ya que los problemas de configuración no siempre son evidentes.

Material de lectura adicional

Descripción de la utilidad DNSLint

Tema de Ayuda: Solución de problemas de servidores DNS

Solución de problemas de DNS


Demostración: Prueba de configuración del servidor DNS

Demostración: Prueba de configuración del servidor DNS


Supervisión de DNS usando el registro de eventos y el registro de
depuración de DNS

Supervisión de DNS usando el registro de eventos y el registro de depuración de DNS

Puntos clave

El servidor DNS cuenta con su propia categoría en el registro de eventos. Como en el caso de cualquier registro de
eventos en Visor de eventos de Windows, se debe revisar el registro de eventos periódicamente.

Algunas veces quizá sea necesario obtener más detalles acerca de un problema de DNS que los que brinda Visor de
eventos. En esta instancia, se puede usar el registro de depuración para brindar información adicional.
Laboratorio: Configuración y comprobación de una solución DNS

Laboratorio: Configuración y comprobación de una solución DNS

Objetivos

Configurar una infraestructura DNS para incluir una zona secundaria, una zona de rutas internas y asegurar las
transferencias de zona

Supervisar DNS
Ejercicio 1: Configuración de una infraestructura DNS

Ejercicio 1: Configuración de una infraestructura DNS

Escenario

Es el administrador principal de DNS en Woodgrove Bank. Ha recibido una solicitud para crear dos zonas DNS nuevas.
La zona Nwtraders.msft es para una división del banco que requiere su propio dominio DNS. Esta división también
tendrá un grupo de administradores que controlen los registros de recursos de la zona. Contoso es una compañía que
Woodgrove Bank ha adquirido recientemente. Para comenzar con las pruebas de integración, debe definir un dominio
DNS denominado contoso.msft y probar diferentes configuraciones de zona. También debe probar la zona para
asegurarse de que sea resistente a errores.

Descripción general del ejercicio:

En este ejercicio, configurará la función del servidor DNS en un servidor miembro y configurará las zonas contoso.msft
y nwtraders.msft. Luego, creará zonas secundarias para cada dominio y una zona de rutas internas para
Nwtraders.msft.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales e iniciar sesión.

2. Configurar la función del servidor DNS en NYC-SVR1.

3. Configurar la zona Contoso.msft en NYC-SVR1.

4. Configurar la zona Nwtraders.msft en NYC-DC1.

5. Configurar la seguridad de la transferencia de zona.

6. Configurar zonas secundarias para cada dominio en NYC-SVR1 y NYC-DC1.

7. Configurar una zona de rutas internas para Nwtraders.msft en NYC-SVR2.

8. Configurar opciones administrativas para el dominio Nwtraders.msft.

Tarea 1: Iniciar las máquinas virtuales e iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Configurar la función del servidor DNS en NYC-SVR1

En NYC-SVR1, en la consola Server Manager, agregue la función DNS Server.

Tarea 3: Configurar la zona Contoso.msft en NYC-SVR1

1. En NYC-SVR1, abra la consola DNS (en Herramientas administrativas).

2. Cree una zona principal de búsqueda directa denominada Contoso.msft.

3. Use las opciones predeterminadas en Asistente de nueva zona.

Tarea 4: Configurar la zona nwtraders.msft en NYC-DC1


1. En NYC-DC1, abra la consola DNS (en Herramientas administrativas).

2. Cree una zona principal de búsqueda directa integrada en Active Directory denominada nwtraders.msft.

3. Use las opciones predeterminadas en Asistente de nueva zona.

Tarea 5: Configurar transferencias de zona

1. En NYC-DC1, configure nwtraders.msft para permitir transferencias de zona a NYC-SVR1:

La dirección IP de NYC-SVR1 es 10.10.0.24.

2. En NYC-SVR1, configure contoso.msft para permitir transferencias de zona a NYC-DC1.

La dirección IP de NYC-DC1 es 10.10.0.10.

3. Responda la siguiente pregunta:

Pregunta: ¿Por qué es necesario configurar las transferencias de zona?

Tarea 6: Configurar las zonas secundarias para cada dominio

1. En NYC-DC1, use la consola DNS para configurar una zona secundaria directa para Contoso.msft:

La dirección del servidor de zona principal para Contoso.msft es 10.10.0.24.

2. En NYC-SVR1, use la consola DNS para configurar una zona secundaria directa para nwtraders.msft:

La dirección del servidor de zona principal para nwtraders.com es 10.10.0.10.

Tarea 7: Configurar una zona de rutas internas para WoodgroveBank.com

1. En NYC-SVR1, use la consola DNS para configurar una zona de rutas internas para WoodgroveBank.com:

La dirección del servidor de zona principal para WoodgroveBank.com es 10.10.0.10.

2. Haga clic en WoodgroveBank.com y anote los registros enumerados.

3. En NYC-DC1, en la consola DNS, haga clic en WoodgroveBank.com y compruebe que existen registros
adicionales que no están incluidos en una zona de rutas internas.

4. Responda la siguiente pregunta:

Pregunta: ¿Por qué usar una zona de rutas internas en lugar de reenviadores condicionales?

Tarea 8: Configurar opciones administrativas para el dominio nwtraders.msft

1. En NYC-DC1, use la consola DNS para agregar el grupo DL Nwtraders Admins DNS a la lista de control de
acceso de nwtraders.msft.

2. Conceda los permisos Lectura, Escritura, Crear todos los objetos secundarios y Borrar todos los
objetos secundarios al grupo DL Nwtraders Admins DNS.
Ejercicio 2: Supervisión y solución de problemas de DNS

Ejercicio 2: Supervisión y solución de problemas de DNS

Escenario

Algunos usuarios informan que tienen problemas para resolver nombres de dominio.

Debe analizar la infraestructura DNS para asegurar que no haya problemas.

Descripción general del ejercicio

En este ejercicio, realizará varias pruebas para asegurar que la infraestructura DNS esté funcionando correctamente.
Usará varias herramientas de solución de problemas de DNS para validar la configuración y respuestas de DNS.

Las principales tareas se realizarán como se detalla a continuación:

1. Probar consultas simples y recursivas.

2. Comprobar los registros SOA usando Nslookup.

3. Usar el comando Dnslint para comprobar los registros de servidores de nombres.

4. Visualizar las estadísticas de rendimiento usando la consola Rendimiento.

5. Comprobar la replicación DNS.

6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Probar consultas simples y recursivas

En NYC-DC1, en la consola DNS, use la función Supervisión de servidor DNS para realizar Una consulta
recursiva contra este servidor DNS.

Tarea 2: Comprobar los registros SOA usando Nslookup

1. En NYC-DC1, abra un símbolo del sistema y escriba nslookup.exe.

2. Configure un tipo de consulta SOA (Inicio de autoridad).

3. Busque los registros de recursos SOA para nwtraders.msft y contoso.msft.

Tarea 3: Usar el comando Dnslint para comprobar los registros de servidores de nombres

1. En NYC-DC1, abra un símbolo del sistema y ejecute el comando dnslint.exe para el dominio nwtraders.msft
en la dirección IP 10.10.0.10:

El archivo dnslint.exe se encuentra en d:\ArchivosdeLaboratorio\dnslint.

2. Genere un informe Dnslint en un archivo html:

El parámetro /s especifica que Dnslint no se referirá a Internet para el dominio especificado.

El parámetro /d especifica el dominio que se debe buscar.

Nota: Consulte la documentación de Ayuda si necesita orientación.

Tarea 4: Visualizar las estadísticas de rendimiento usando la consola Performance

1. En NYC-DC1, use la consola Administrador de equipo para abrir Monitor de rendimiento.

2. Agregue los contadores DNS Una consulta simple contra este servidor DNS y Una consulta recursiva
contra este servidor DNS.

3. Use la característica Supervisión de las propiedades de Servidor DNS para generar solicitudes al servidor
DNS.

4. Revise los datos que generan las solicitudes en Monitor de rendimiento. Alterne entre las vistas de gráficos y de
informes.

Tarea 5: Comprobar la replicación DNS

1. En NYC-DC1, use la consola DNS para agregar un registro de recursos A denominado Prueba a la zona
nwtraders.msft. Use la dirección IP 10.10.0.15.

2. Compruebe que el registro de recursos A creado en NYC-DC1 se haya replicado en NYC-SVR1.

3. Si el registro de recursos A no aparece, fuerce la replicación para que ocurra manualmente.

Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

Nota: No apague las máquinas virtuales hasta que haya completado las Preguntas de revisión del laboratorio.

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Lab Review

Preguntas de revisión

1. Debe presentar a un cliente potencial las ventajas de usar Windows Server 2008. ¿Qué características nuevas
destacaría al debatir el uso de la función del servidor DNS en Windows Server 2008?

2. Está implementando servidores DNS en un dominio de Active Directory y su cliente requiere que la
infraestructura sea resistente a puntos únicos de posibles errores. ¿Qué se debe considerar al planear la
configuración DNS?

3. ¿Cuál es la diferencia entre las consultas recursivas y las consultas iterativas?

4. ¿Qué se debe configurar antes de que una zona DNS pueda transferirse a un servidor DNS secundario?

5. Es el administrador de un entorno de DNS de Windows Server 2008. Su compañía adquirió otra compañía
recientemente. Desea replicar su zona DNS principal. La compañía adquirida usa Bind 4.9.4 para hospedar sus
zonas DNS principales. Advierte una gran cantidad de tráfico entre el servidor DNS de Windows Server 2008 y
el servidor Bind. ¿Cuál es una posible razón de esto?

6. Debe automatizar un proceso de configuración del servidor DNS para que pueda automatizar la implementación
de Windows Server 2008. ¿Qué herramientas puede usar para hacerlo?

Sugerencias acerca de problemas frecuentes y su resolución

Para resolver problemas de resolución de registros de recursos DNS:

Si el cambio en el registro de recursos es reciente, es posible que no se replique a todos los servidores DNS.

En organizaciones más grandes en las que DNS está integrado a Active Directory, la convergencia puede
demorar más tiempo.

En ocasiones, el cliente puede almacenar en la memoria caché registros DNS inválidos. Por lo tanto, se debe
limpiar la memoria caché de DNS local.

Los servidores de Internet pueden requerir tiempo adicional para actualizar la información de su propia memoria
caché y de su organización antes de que los cambios que se han realizado comiencen a funcionar
correctamente.

Para resolver problemas de transferencias de zona DNS:

Asegúrese de que el servidor que intenta realizar la transferencia de zona tenga permitido el acceso a la
configuración de la zona principal.

Asegúrese de que el servidor al que se transfiere la zona sea compatible con las características de
transferencia de zona de Windows Server 2008. Quizá sea necesario desactivar algunas características.

Asegúrese de que un firewall u otros dispositivos de administración de puertos que se encuentren entre los dos
servidores DNS no estén bloqueando el puerto 53 de UDP.

Para resolver problemas cuando el servidor DNS responde a las solicitudes lentamente:

Compruebe que otros programas no estén afectando al servidor con la función del servidor DNS.

Use Monitor de rendimiento para identificar la carga en el servidor que generan las solicitudes DNS. Quizá
resulte necesario dividir la carga o crear subzonas adicionales.

Asegúrese de que no haya una gran cantidad de registros de recursos obsoletos.

Problemas y escenarios reales

Zonas DNS inversas

Por lo general, los administradores no crean zonas DNS inversas en su infraestructura DNS. En principio, esto no
generará problemas notorios. Sin embargo, muchas aplicaciones usan DNS inverso para resolver información de
nombres acerca de los hosts en los que se ejecutan.

Algunas aplicaciones requieren que se definan registros de recursos de zona inversa y de puntero. Muchos
dispositivos de seguridad de correo electrónico y software comprueban periódicamente la existencia de un registro
DNS inverso para la dirección IP que se comunica con éste.

Confianzas de DNS y de Active Directory

Cuando se crean confianzas entre dos dominios de Active Directory, la capacidad del dominio A de buscar registros
en el dominio B (y viceversa) está sujeta a la configuración de la infraestructura DNS. Rara vez puede obtenerse
acceso a los dominios de Active Directory en Internet. Por lo tanto, se requiere que los reenviadores condicionales, las
zonas de rutas internas y las zonas secundarias repliquen la infraestructura DNS a través de dominios y bosques.

Asegure las zonas contra el volcado de zona

De manera predeterminada, las transferencias de zona se encuentran deshabilitadas en Windows Server 2008.
Cuando se configuran las transferencias de zona, uno de los procedimientos recomendados consiste en especificar la
dirección IP de los servidores a los que se desea transferir los datos de zona. Se recomienda enfáticamente que la
opción Permitir transferencia de zona a cualquier servidor no esté seleccionada, especialmente si el servidor está en
Internet. Si esta opción está habilitada, es posible volcar la zona completa. Esto puede transmitir una importante
cantidad de información sobre la red a posibles atacantes.

Procedimientos recomendados

Escriba la dirección de correo electrónico correcta de la persona responsable de cada zona a la que agregue
un servidor DNS o lo administre. Las aplicaciones usan este campo para notificar a los administradores de DNS
por varias razones. Por ejemplo, los errores de consulta, los datos incorrectos devueltos en una consulta y los
problemas de seguridad son algunas de las maneras en que puede usarse este campo. Mientras que la
mayoría de las direcciones de correo electrónico de Internet contienen el símbolo “@” para representar la
palabra “arroba” en el correo electrónico, este símbolo debe ser reemplazado por un punto (.) cuando se
escribe una dirección de correo electrónico para este campo. Por ejemplo, en lugar de
“administrador@microsoft.com”, se debería usar “administrador.microsoft.com”.

Para obtener más información acerca de cómo configurar la persona responsable de una zona, consulte Modificar el
registro de inicio de autoridad (SOA) de una zona en http://technet2.microsoft.com/WindowsServer/en/library
/e1f77652-7e1f-4902-9107-6b863ccb43501033.mspx.

Sea conservador al agregar registros de alias a las zonas.

Evite usar registros de recursos (RR) CNAME para que otorguen un alias a un nombre de host que usa un registro de
recursos de host (A) si son innecesarios. Además, asegúrese de que otros RR no estén usando un nombre de alias
que ya usa.

DNS permite que un nombre de propietario de un registro de recursos CNAME se use como el nombre de propietario
de otros tipos de registros de recursos, tales como los registros de recursos NS, MX y TXT.

Para obtener más información, consulte el Tema de Ayuda: Administración de registros de recursos.

Si está usando Active Directory, use el almacenamiento integrado de directorio para sus zonas DNS. Esto
ofrece mayor seguridad y tolerancia a errores y, además, simplifica la implementación y la administración.

Al integrar zonas puede simplificar la planeación de red. Por ejemplo, los controladores de dominio para cada uno de
sus dominios de Active Directory corresponden, en una asignación de uno a uno directa, a servidores DNS. Esto
puede simplificar la planeación y la resolución de problemas de DNS y problemas de replicación de Active Directory
porque ambas topologías usan los mismos equipos servidor.

Si usa el almacenamiento integrado de directorio para sus zonas, puede elegir entre los diferentes ámbitos de
replicación que replican los datos de su zona DNS en todo el directorio. Si su infraestructura DNS debe ser compatible
con servidores DNS de Windows 2000, usará el método de almacenamiento integrado de directorio que replica los
datos de zona DNS a todos los controladores del dominio. Si su infraestructura DNS está compuesta por servidores
DNS que se ejecutan sólo con Windows Server 2003, también podrá elegir entre los ámbitos de replicación que
replican los datos de zona DNS a todos los servidores DNS del bosque de Active Directory, todos los servidores DNS
en un dominio de Active Directory especificado o todos los controladores de dominio especificados en un ámbito de
replicación personalizado.

Todo servidor DNS que hospede una zona integrada de directorio es un servidor DNS principal para dicha zona. Esto
habilita un modelo con varios maestros en el que múltiples servidores DNS pueden actualizar los mismos datos de
zona. Un modelo con varios maestros elimina un punto único de posibles errores asociado con una topología de DNS
convencional y de maestro único, donde las actualizaciones pueden realizarse sólo en un único servidor DNS para una
zona determinada.

Una de las ventajas importantes de la integración de directorio es la compatibilidad con actualizaciones dinámicas
seguras de los nombres dentro de una zona. Para obtener más información, consulte Actualización dinámica en
http://technet2.microsoft.com/WindowsServer/en/library/e760737e-9e55-458d-b5ed-a1ae9e04819e1033.mspx.

Considere usar zonas secundarias para asistir a la descarga de tráfico de consultas DNS cuando sea
apropiado.

Esto le permite usar servidores secundarios como medio para equilibrar la carga de tráfico de consultas DNS en su
red y reservar sus servidores DNS principales habilitados para que sean usados sólo por aquellos clientes que los
necesitan para realizar registros y actualizaciones dinámicas de sus registros de recursos A y PTR.

Deshabilitar la recursión para los servidores que no responden a las consultas de los clientes o que se comunican
usando reenviadores. El hecho de que los servidores DNS se comuniquen entre sí usando consultas iterativas asegura
que el servidor sólo responda a las consultas que están dirigidas a él.

La consola DNS

La herramienta principal que se usa para administrar servidores DNS es la consola DNS, que se encuentra en la
carpeta Herramientas administrativas en el menú Inicio. Se puede usar la consola DNS sola o como una MMC,
integrando aún más la administración de DNS en la administración total de la red. También se encuentra disponible en
Administrador de servidores en los equipos que tienen instalada la función del servidor DNS.

Herramientas de línea de comandos

La siguiente tabla describe las herramientas de línea de comandos que se usan comúnmente para configurar y
solucionar problemas de DNS:

Comando Descripción

Nslookup Se usa para realizar pruebas de consultas del espacio de nombres de


dominio DNS.

Dnscmd Esta interfaz de la línea de comandos se usa para administrar


servidores DNS. Esta utilidad resulta útil en el scripting de archivos por
lotes, ya que contribuye a la automatización de las tareas de
administración de DNS de rutina o a establecer la instalación y
configuración simple y desatendida de nuevos servidores DNS en su
red.

Ipconfig EEste comando se usa para visualizar y modificar los detalles de


configuración IP que usa el equipo. Esta utilidad incluye opciones
adicionales de línea de comandos para brindar ayuda en la solución de
problemas y soporte a clientes DNS.

DNSlint Ofrece varias pruebas automatizadas para comprobar que los


servidores y los registros de recursos DNS estén configurados
correctamente y se dirijan a servicios válidos.

Este comando puede descargarse desde Microsoft en


http://support.microsoft.com/kb/321045.

Herramientas de supervisión

La familia de Windows Server® 2008 incluye las siguientes opciones para supervisar servidores DNS:

Registro predeterminado de los mensajes de eventos del servidor DNS en el registro del servidor DNS. Los
mensajes de eventos del servidor DNS son independientes y permanecen en su propio registro de eventos del
sistema (el registro del servidor DNS) que se puede ver usando la consola DNS o Visor de eventos.
Opciones de depuración opcionales para realizar un registro de seguimiento a un archivo de texto en el equipo
servidor DNS. También se puede usar la consola DNS para habilitar opciones de depuración adicionales para
realizar un registro de seguimiento temporal de la actividad del servidor DNS en un archivo de texto. El archivo
que se crea y se usa para esta característica, Dns.log, se almacena en la carpeta raíz del sistema
(systemroot)\System32\Dns.

Monitor de rendimiento de Windows. Se pueden supervisar contadores de rendimiento DNS específicos, en


tiempo real, para diagnosticar problemas de DNS y conflictos de recursos.

Comando Descripción

Nslookup Se usa para realizar pruebas de consultas del espacio de nombres de


dominio DNS.

Dnscmd Esta interfaz de la línea de comandos se usa para administrar


servidores DNS. Esta utilidad resulta útil en el scripting de archivos por
lotes, ya que contribuye a la automatización de las tareas de
administración de DNS de rutina o a establecer la instalación y
configuración simple y desatendida de nuevos servidores DNS en su
red.

Ipconfig Este comando se usa para visualizar y modificar los detalles de


configuración IP que usa el equipo. Esta utilidad incluye opciones
adicionales de línea de comandos para brindar ayuda en la solución de
problemas y soporte a clientes DNS.

DNSlint Ofrece varias pruebas automatizadas para comprobar que los


servidores y los registros de recursos DNS estén configurados
correctamente y se dirijan a servicios válidos.

Este comando puede descargarse desde Microsoft en


http://support.microsoft.com/kb/321045.
Módulo 3: Configuración y administración de WINS
Módulo 3

Configuración y administración de WINS


Este módulo explica cómo configurar, administrar y solucionar problemas de servidores de Servicio de nombres
Internet de Microsoft® Windows® (WINS). WINS es un Servidor de nombre NetBIOS (NBNS) que puede usarse para
resolver nombres NetBIOS para direcciones IP.

Lección 1: Descripción general de Servicio de nombres Internet de Windows


Lección 2: Administración del servidor WINS
Lección 3: Configuración de la replicación de WINS
Lección 4: Migración de WINS a DNS
Laboratorio: Configuración de una infraestructura de WINS
Lección 1: Descripción general de Servicio de nombres Internet de
Windows
Lección 1:

Descripción general de Servicio de nombres Internet de Windows

El propósito de WINS en una infraestructura de red es resolver nombres NetBIOS a direcciones IP para una
comunicación eficaz entre sistemas y aplicaciones que todavía usan nombres únicos. Las versiones anteriores de los
sistemas operativos de Microsoft y algunas aplicaciones anteriores todavía usan este tipo de resolución, como lo hace
el personal de algunas organizaciones para asociarse a los recursos, como por ejemplo los servidores web internos.
Por ende, WINS aún se encuentra disponible y puede usarse, pero se quitará en versiones posteriores de Windows
Server®. Una vez que esto suceda, se encontrará disponible un nuevo tipo de zona Sistema de nombres de dominio
(DNS) que puede replicarse entre los servidores DNS de Windows Server 2008 para resolver los nombres de espacio
de nombres únicos.
¿Cuándo se necesita WINS?

¿Cuándo se necesita WINS?

Puntos clave

WINS resuelve nombres NetBIOS a direcciones IP, que pueden reducir el tráfico de difusión de NetBIOS y permitir a
los clientes resolver los nombres NetBIOS de equipos que se encuentran en segmentos de red diferentes (subredes).

WINS es necesario si:

Las versiones anteriores de los sistemas operativos de Microsoft usan WINS para la resolución de nombres.

Algunas aplicaciones, en particular las versiones anteriores de aplicaciones, usan nombres NetBIOS.

Quizá se necesite un registro dinámico de nombres de una sola etiqueta.

Es posible que los usuarios usen las características Entorno de red o Mis sitios de red del explorador de red.

Quizá no esté usando Windows Server 2008 como infraestructura DNS.

Material de lectura adicional

Descripción general de Servicios de nombres Internet de Windows (WINS) de Windows 2000 Server

Por qué se continúa ejecutando Servicio de nombres Internet de Windows (WINS)


Descripción general de los componentes de WINS

Descripción general de los componentes de WINS

Puntos clave

Para instalar y configurar un servidor WINS correctamente, los administradores de sistemas deben comprender en
detalle los componentes WINS y el modo en que funcionan en un entorno de red.

El sistema completo WINS de Windows Server 2008 incluye los siguientes componentes:

Servidor WINS

Base de datos de WINS

Clientes WINS

Agente Proxy de WINS

Nota: Windows Server 2008 le permite migrar de WINS a una solución DNS completa cuando su infraestructura es
compatible con los requisitos previos presentados más adelante en este módulo. Lo anterior se logra usando una zona
de nombres de una sola etiqueta, denominada NombresGlobales, en DNS de Windows Server 2008.

Material de lectura adicional

Componentes de WINS
Registro de clientes y proceso de lanzamiento de WINS

Registro de clientes y proceso de lanzamiento de WINS

Puntos clave

Registro de nombres es el proceso que realiza un cliente WINS que solicita y recibe el uso de un nombre NetBIOS
para los servicios que el cliente habilita en la red. La solicitud puede ser para un nombre único (exclusivo) o para un
nombre de grupo (compartido).

Liberación de nombre es el proceso que realiza un cliente WINS que solicita la eliminación del registro de un nombre
NetBIOS de la base de datos de WINS.

Material de lectura adicional

Comprobar el registro en WINS de los nombres NetBIOS de cliente


¿Qué es el control de ráfagas?

¿Qué es el control de ráfagas?

Puntos clave

El control de ráfagas permite a un servidor WINS administrar gran cantidad de solicitudes simultáneas de registro de
nombres.

El control de ráfagas permite que el servidor WINS responda de manera positiva e inmediata a los clientes WINS sin
aceptar la solicitud de registro de nombres.

Material de lectura adicional

Control de ráfagas
Proceso de resolución de nombres del servidor WINS

Proceso de resolución de nombres del servidor WINS

Puntos clave

Antes de que los clientes puedan usar un servidor WINS para la resolución de nombres, primero se debe configurar a
los clientes con la dirección IP del servidor WINS. Puede hacerlo manualmente usando el valor Protocolo de control
de transmisión/Protocolo de Internet (TCP/IP) local del cliente o de manera dinámica con el Protocolo de configuración
dinámica de host (DHCP).

Puede configurar a los clientes WINS con una lista de servidores WINS múltiples. Los clientes WINS intentan usar
solamente el primer servidor WINS que se encuentra en las configuraciones TCP/IP. Si el primer servidor WINS no
responde, los clientes WINS contactan a otros servidores WINS hasta que reciban una respuesta o agoten la lista de
servidores WINS que se pueden usar.

Material de lectura adicional

Resolución de nombres de NetBIOS sobre TCP/IP y WINS

Microsoft TCP/IP Host Name Resolution Order (Orden de resolución de nombres de host TCP/IP de Microsoft)
¿Qué son los tipos de nodo NetBIOS?

¿Qué son los tipos de nodo NetBIOS?

Puntos clave

Un tipo de nodo NetBIOS es un valor configurable que determina el método que usará un equipo para resolver un
nombre NetBIOS a una dirección IP. El tipo de nodo NetBIOS le permite a un administrador controlar qué métodos de
resolución de nombres NetBIOS implementarán los clientes y el orden en que los usarán.

Comprender cómo funcionan los diversos tipos de nodos le ayudará a configurar la solución WINS de manera
adecuada. Windows Server 2008 es compatible con los siguientes tipos de nodo:

Nodo B (difusión)

Nodo P (punto a punto)

Nodo M (mixto)

Nodo H (híbrido)

Material de lectura adicional

Resolución de nombres de NetBIOS sobre TCP/IP y WINS


Demostración: Instalación y configuración de un servidor WINS

Demostración: Instalación y configuración de un servidor WINS


Lección 2: Administración del servidor WINS

Lección 2:

Administración del servidor WINS

Para que WINS funcione de manera eficaz en un entorno de Microsoft, los clientes y los servidores deben tener sus
nombres registrados con el servicio WINS. Es posible que, en ciertas circunstancias, las entradas incorrectas en la
base de datos del servidor WINS generen problemas con la resolución de nombres NetBIOS.
Descripción general de los registros de cliente

Descripción general de los registros de cliente

Puntos clave

La base de datos de WINS está formada por los registros de cliente. Un registro de cliente cuenta con información
detallada para cada servicio dependiente de NetBIOS que se ejecuta en un cliente WINS.

WINS muestra todos los registros en la base de datos y organiza la información del registro WINS en las siguientes
columnas:

Nombre de registro

Tipo

Dirección IP

Estado

Estático

Propietario

Versión

Expiración

Material de lectura adicional

Ver registros de WINS


Demostración: Filtrado y visualización de registros en WINS

Demostración: Filtrado y visualización de registros en WINS


Cómo funciona el borrado

Cómo funciona el borrado

Puntos clave

El borrado es el proceso de eliminación y remoción de entradas expiradas de la base de datos de WINS. El borrado
también elimina entradas que se replicaron desde un servidor WINS remoto y que no fueron eliminadas de la base de
datos de WINS local. El borrado mantiene el estado de información correcta en la base de datos al examinar cada
registro que le pertenece al servidor WINS, comparar la marca de hora del registro con la hora actual y luego cambiar
el estado de los registros que han expirado. Por ejemplo, el borrado modifica el estado de un registro de activo a
liberado.

Material de lectura adicional

Mantener la base de datos WINS


Eliminación de registros de WINS

Eliminación de registros de WINS

Puntos clave

Se puede recuperar el espacio no utilizado al eliminar los registros obsoletos en la base de datos de WINS. La
consola de administración de WINS brinda una mejora en la administración de la base de datos al ser compatible con
las siguientes operaciones de eliminación:

La eliminación básica de los registros de la base de datos de WINS que se encuentran almacenados en una
base de datos de un servidor único.

La eliminación de desechos es la eliminación de registros que se encuentran marcados para ser eliminados
(desechados) de la base de datos de WINS únicamente después de haber sido replicados a las bases de
datos en otros servidores WINS.

La capacidad para seleccionar varios grupos de los registros de base de datos mostrados cuando se lleva a
cabo una eliminación básica o de desechos.

Material de lectura adicional

Eliminar y desechar registros


Copia de seguridad y restauración de la base de datos de WINS

Copia de seguridad y restauración de la base de datos de WINS

Puntos clave

En caso de no poder reparar los daños en la base de datos producidos por un error en el sistema, un ataque de virus,
un error de alimentación u otro desastre, es posible restaurar la base de datos desde una copia de seguridad.

La consola de administración de WINS brinda herramientas de copia de seguridad para la base de datos de WINS.

Material de lectura adicional

Mantener la base de datos WINS


Compactación de la base de datos de WINS

Compactación de la base de datos de WINS

Puntos clave

Recuperar el espacio no utilizado en una base de datos de WINS ayuda a mantener el rendimiento. Al compactar la
base de datos de WINS, se puede recuperar el espacio no utilizado.

La compactación dinámica tiene lugar como un proceso en segundo plano durante tiempos de inactividad mientras se
actualiza la base de datos. Esto reduce la necesidad de realizar la compactación sin conexión.

Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.

Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.

Material de lectura adicional

How to Use Jetpack.exe to Compact a WINS or DHCP Database (Cómo usar Jetpack.exe para compactar una
base de datos de WINS o DHCP)

Nota: WINS usa el formato de base de datos de Jet para almacenar sus datos. Jet genera un archivo J<n>.log y otros
archivos en la carpeta %raíz del sistema (systemroot)%\System32\Wins.
Demostración: Administración de la base de datos del servidor WINS

Demostración: Administración de la base de datos del servidor WINS


Lección 3: Configuración de la replicación de WINS

Lección 3:

Configuración de la replicación de WINS

De manera predeterminada, un servidor WINS contiene información solamente acerca de sus propios clientes. A fin de
asegurar una resolución de nombres NetBIOS eficaz en un entorno con varios servidores WINS, cada uno de los
servidores WINS necesitará conocer todos los clientes, sin tener en cuenta el servidor WINS que registró al cliente.

En la replicación WINS participan dos servidores WINS que mantienen datos consistentes en los múltiples servidores
WINS.

La configuración predeterminada para los asociados de replicación de WINS es el tipo de replicación por
inserción/extracción.

Nota: En lugar de replicar la base de datos en su totalidad, los servidores WINS replican solamente los cambios
realizados en sus bases de datos.
¿Qué es la replicación por inserción?

¿Qué es la replicación por inserción?

Puntos clave

La replicación por inserción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otros
servidores WINS cada vez que llega a un umbral de cambios especificado.

Se debe configurar un asociado de replicación como un asociado de inserción si los vínculos de comunicación rápida
conectan los servidores.

Material de lectura adicional

Servidores asociados de inserción


¿Qué es la replicación por extracción?

¿Qué es la replicación por extracción?

Puntos clave

La replicación por extracción es el proceso de copiar datos WINS actualizados desde un servidor WINS a otro
servidor WINS a intervalos específicos y configurables.

Se debe configurar un asociado de replicación como un asociado de extracción si los vínculos de comunicación lenta
conectan los servidores WINS.

Material de lectura adicional

Servidores asociados de extracción


¿Qué es la replicación por inserción/extracción?

¿Qué es la replicación por inserción/extracción?

Puntos clave

En el proceso de replicación por inserción/extracción, un servidor WINS actualiza sus registros con nuevas entradas
de base de datos desde sus asociados de replicación, basándose en un umbral e intervalo de replicación.

Se debe configurar un asociado de replicación como un asociado de inserción/extracción si se desea especificar tanto
un umbral como un intervalo de replicación para el asociado.

Los asociados de replicación de WINS se encuentran configurados de manera predeterminada como asociados de
inserción/extracción.

Material de lectura adicional

Introducción a la replicación WINS


Demostración: Configuración de las propiedades del asociado de
replicación de WINS

Demostración: Configuración de las propiedades del asociado de replicación de WINS


Comprobación de la coherencia de la base de datos de WINS

Comprobación de la coherencia de la base de datos de WINS

Puntos clave

Comprobar la coherencia en la base de datos de WINS ayuda a mantener la integridad de la base de datos entre los
servidores WINS en una red extensa.

Cuando se inicia la comprobación de coherencia en la consola de administración de WINS, los registros se


comprueban en base a todos los propietarios enumerados en la base de datos del servidor actual, incluyendo otros
servidores WINS que son asociados de replicación indirectos (no configurados directamente).

Material de lectura adicional

Comprobar manualmente la coherencia de la base de datos


Lección 4: Migración de WINS a DNS

Lección 4:

Migración de WINS a DNS

En la actualidad, numerosos clientes de Microsoft implementan tecnología y servidores WINS en su entorno.

Para ayudar a los clientes a migrar a DNS para toda la resolución de nombres, la función del servidor DNS en Windows
Server 2008 es compatible con la característica especial GlobalNames Zone – Zona de NombresGlobales (GNZ).
GNZ está diseñada para habilitar la resolución de estos nombres globales, estáticos y de una sola etiqueta para
servidores usando DNS.

Se espera que GNZ sirva de ayuda para la retirada de WINS. No obstante, no es un reemplazo de WINS.
Resolución de nombres para un nombre de una sola etiqueta

Resolución de nombres para un nombre de una sola etiqueta

Puntos clave

De manera predeterminada, los clientes DNS anexan sufijos que obtienen de varios orígenes para resolver un nombre
de una sola etiqueta.

Material de lectura adicional

Documento para la implementación de la zona GlobalNames del servidor DNS


¿Qué es la zona NombresGlobales (GlobalNames)?

¿Qué es la zona NombresGlobales (GlobalNames)?

Puntos clave

La zona NombresGlobales no es un nuevo tipo de zona, pero su nombre reservado la distingue. El nombre
NombresGlobales le indica al servicio del Servidor DNS con Windows Server 2008 que se usará la zona para la
resolución de un sólo nombre.

La implementación GNZ recomendada se realiza usando una zona integrada de Servicios de dominio de Active
Directory (AD DS) (denominada NombresGlobales) que se distribuye globalmente.

Material de lectura adicional

Documento para la implementación de la zona NombresGlobales del servidor DNS


Cómo funciona la resolución de nombres de la zona NombresGlobales

Cómo funciona la resolución de nombres de la zona NombresGlobales

Puntos clave

El proceso de resolución de nombres de la zona NombresGlobales:

1. Un usuario escribe http://mycontoso en la barra de direcciones del explorador en un equipo que se encuentra
unido al dominio engineering.corp.contoso.com.

2. El explorador pide a la función GetAddrInfo() que resuelva el nombre mycontoso.

3. GetAddrInfo() invoca el cliente DNS para resolver el nombre.

4. El cliente DNS envía las siguientes consultas calificadas (basadas en la lista de búsqueda de sufijos):

mycontoso.engineering.corp.contoso.com àError de nombre

mycontoso.accounting.corp.contoso.com à Error de nombre

mycontoso.itgroup.corp.contoso.com àError de nombre

5. Si se produce un error en las consultas calificadas, el servidor DNS busca la zona NombresGlobales (si está
configurada) e intenta resolver el nombre de una sola etiqueta de la zona.

Material de lectura adicional

Documento para la implementación de la zona NombresGlobales del servidor DNS


Requisitos de instalación para implementar la zona NombresGlobales

Requisitos de instalación para implementar la zona NombresGlobales

Puntos clave

Existen diferentes métodos para implementar la zona NombresGlobales:

Implementar varios bosques

Implementar todos los dominios y equipos de cliente en todos los bosques

Usar un conjunto selecto de servidores DNS para hospedar GNZ

Material de lectura adicional

Documento para la implementación de la zona NombresGlobales del servidor DNS


Demostración: Migración de WINS a DNS usando la zona NombresGlobales

Demostración: Migración de WINS a DNS usando la zona NombresGlobales


Laboratorio: Configuración de una infraestructura de WINS

Laboratorio: Configuración de una infraestructura de WINS

Objetivos

Instalar WINS

Configurar el control de ráfagas de WINS

Configurar la replicación de WINS

Migrar de WINS a DNS

Escenario

Se le asigna la tarea de instalar un segundo servidor WINS para el dominio Woodgrovebank para la tolerancia a errores
y usar una resolución de servidor WINS secundario para los clientes de dominio. La coherencia de la base de datos y
la velocidad de convergencia son de suma importancia. Se debe establecer la replicación para asegurarse de que los
registros se repliquen en el vector de cambio o vector temporal, lo que ocurra primero.

Después de implementar correctamente el servidor WINS secundario, la administración desea que se pruebe la nueva
zona NombresGlobales en el DNS de Windows Server 2008 para ayudar a retirar los servidores WINS que usa el
dominio Woodgrovebank. Al personal de TI no le resulta fácil la tarea de mantener la lista de búsqueda de sufijos de
nombres de dominio y los dominios Woodgrovebank todavía usan nombres de una sola etiqueta para los nombres de
servidores web internos. Se debe instalar y comprobar que esta nueva opción en DNS ayudará a la hora de retirar los
servidores WINS existentes.
Ejercicio 1: Instalación de WINS

Ejercicio 1: Instalación de WINS

Descripción general del ejercicio:

En este ejercicio, se instalará la característica WINS en 6822A-NYC-SVR1.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales e iniciar sesión.

2. Abrir la consola Administrador de servidores.

3. Instalar la característica WINS.

Tarea 1: Iniciar las máquinas virtuales e iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: En 6822A-NYC-SVR1, iniciar la consola Administrador del servidor

1. Abra Herramientas administrativas.

2. Inicie Administrador del servidor.

Resultado: Se abre la consola Administrador de servidores.

Tarea 3: Desde la consola Administrador de servidores, instalar la característica WINS

1. En Administrador del servidor, use el Asistente de Agregar características para instalar la característica
WINS en 6822A-NYC-SVR1.

2. En la página Resultados de la instalación, compruebe que la instalación se haya realizado correctamente


antes de cerrar el asistente.

Resultado: Se instala la característica WINS en 6822A-NYC-SVR1.

Importante: No cerrar sesión ni apagar las máquinas virtuales en este momento.


Ejercicio 2: Configuración del control de ráfagas de WINS

Ejercicio 2: Configuración del control de ráfagas de WINS

Descripción general del ejercicio:

En este ejercicio, se configurará el control de ráfagas, se creará un registro estático, se configurarán intervalos de
borrado y clientes para que usen los servidores WINS para la resolución de NetBIOS.

Las principales tareas se realizarán como se detalla a continuación:

1. Configurar el servidor WINS para el control de ráfagas.

2. Crear una entrada estática en la base de datos de WINS.

3. Configurar el borrado en el servidor WINS.

4. Configurar NYC-DC1 para usar el servidor WINS para la resolución de NetBIOS.

5. Probar la resolución de nombres NetBIOS.

Tarea 1: Configurar el servidor WINS para el control de ráfagas

1. En NYC-SVR1, inicie la consola WINS.

2. Configure Control de ráfagas con la opción Baja.

Tarea 2: Crear una entrada estática en la base de datos de WINS

1. En la consola WINS, cree una Nueva asignación estática con las siguientes propiedades:

Nombre de equipo HRWEB

Dirección IP 10.10.0.10

2. Use Registraciones activas para comprobar que exista la nueva entrada estática.

Nota: No cierre la consola WINS.

Tarea 3: Configurar el borrado en el servidor WINS para que se realice cada siete días

En el cuadro de diálogo WINS Propiedades para NYC-SVR1, use la ficha Intervalos para establecer el valor
Extinción del tiempo de espera a 7 Días.

Tarea 4: Configurar 6822A-NYC-DC1 para usar el servidor WINS para la resolución de NetBIOS

1. En NYC-DC1, abra Conexiones de red y luego propiedades de Conexión de área local.

2. En el cuadro de diálogo Propiedades de conexión de área local, en Esta conexión usa los siguientes
elementos, abra las propiedades de TCP/IPv4.

3. Haga clic en Opciones avanzadas y configure el equipo para que use el servidor WINS (dirección IP de
10.10.0.24).

Tarea 5: Probar las capacidades de resolución de nombres NetBIOS

En NYC-DC1, en una ventana de comandos, escriba ping hrweb.

La resolución de nombres debería realizarse correctamente y resolver 10.10.0.10.


Ejercicio 3: Configuración de la replicación de WINS

Ejercicio 3: Configuración de la replicación de WINS

Descripción general del ejercicio:

En este ejercicio, se configurará la característica WINS en 6822A-NYC-SVR1 y 6822A-NYC-DC1 para que los
asociados de replicación por inserción/extracción mantengan la coherencia de los registros WINS.

Las principales tareas se realizarán como se detalla a continuación:

1. Configurar la replicación por inserción y extracción en NYC-DC1.

2. Configurar la replicación por inserción y extracción en NYC-SVR1.

3. Comprobar la replicación.

Tarea 1: Configurar la replicación por inserción y extracción en NYC-DC1

1. Abra WINS desde el menú Herramientas administrativas.

2. En la ventana Herramienta administrativa de WINS, use Asociados de replicación para seleccionar un


nuevo asociado de replicación con la dirección IP 10.10.0.24.

En el panel de detalles Asociados de replicación se muestra NYC-SVR1 como asociado Insertar/Extraer.

Tarea 2: Configurar la replicación por inserción y extracción en NYC-SVR1

1. Abra WINS desde el menú Herramientas administrativas.

2. En la ventana Herramienta administrativa de WINS, use Asociados de replicación para seleccionar un


nuevo asociado de replicación con la dirección IP 10.10.0.10.

En el panel de detalles Asociados de replicación se muestra NYC-DC1 como asociado Insertar/Extraer.

Tarea 3: Comprobar la replicación

1. En NYC-SVR1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y
10.10.0.24 como propietarios.

2. En NYC-DC1, fuerce la replicación y luego compruebe que los registros se muestren de 10.10.0.10 y
10.10.0.24 como propietarios.
Ejercicio 4: Migración de WINS a DNS

Ejercicio 4: Migración de WINS a DNS

Descripción general del ejercicio:

En este ejercicio, se migrará una resolución de nombres de una sola etiqueta desde WINS a la zona NombresGlobales
en DNS.

Las principales tareas se realizarán como se detalla a continuación:

1. Crear una zona NombresGlobales y habilitar la funcionalidad GNZ.

2. Crear un registro de alias para un recurso de nombres de una sola etiqueta.

3. Retirar WINS.

4. Comprobar la resolución de nombres de una sola etiqueta NombresGlobales.

5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Crear una zona NombresGlobales y habilitar la funcionalidad GNZ

1. En NYC-DC1, abra la consola DNS desde el menú Herramientas administrativas.

2. Crear una nueva zona de búsqueda directa con el nombre NombresGlobales, un ámbito de replicación que
sea amplitud de bosque y no permitir actualizaciones dinámicas.

3. Abra un símbolo del sistema administrativo.

4. Escriba Dnscmd NYC-DC1 /config /HabilitarSoporte1deNombresGlobales y luego presione Entrar.

Tarea 2: Crear el registro de alias para un recurso de nombres de una sola etiqueta

1. En la consola Administrador DNS, cree un registro Nuevo Alias (CNAME) en la zona de búsqueda directa
NombresGlobales con el nombre de alias HRWEB y un FQDN NYC-DC1.Woodgrovebank.com.

2. Cierre la consola Administrador DNS.

Tarea 3: Retiro de WINS en NYC-DC1 y NYC-SVR1

1. En NYC-DC1 y NYC-SVR1, inicie la consola Administrador del servidor desde el menú Herramientas
administrativas.

2. Quite la característica WINS de NYC-DC1 y NYC-SVR1. Reinicie según sea necesario.

Tarea 4: Comprobar la resolución de nombres de una sola etiqueta NombresGlobales

1. Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd.

2. Inicie sesión en NYC-SVR1 como Administrador usando la contraseña Pa$$w0rd.

3. Complete la eliminación de WINS en ambos servidores, según se requiera.

4. En NYC-DC1, abra un símbolo del sistema y luego escriba ping hrweb.

El comando ping se realiza correctamente y resuelve nyc-dc1.woodgrovebank.com.

Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. En el caso de una base de datos dañada en WINS, en la que se había especificado una ubicación para la copia
de seguridad durante la configuración, ¿qué pasos deben seguirse para reparar el servidor WINS a fin de que
se encuentre en estado operativo?

2. ¿Cuáles son algunos de los beneficios que se pueden obtener usando la GNZ en DNS para resolución de
nombres de una sola etiqueta?

3. Su organización está pensando en retirar sus servidores WINS y usar DNS para toda la resolución de nombres.
¿Qué pasos deberían seguirse para garantizar que se realice correctamente, en caso de que sea posible
hacerlo?

4. ¿Es posible usar WINS en un entorno IPv6? ¿Qué se debe configurar en los clientes de Windows para que
puedan usar el servidor WINS para la resolución de NetBIOS?

Observaciones para los Servicios WINS

Asegúrese de tener en cuenta las siguientes observaciones antes de instalar servicios WINS:

WINS es tecnología heredada. Debe retirar WINS en su entorno, de ser posible.

De necesitar registro dinámico de nombres NetBIOS en su entorno, la opción GNZ en DNS no es una buena
opción. Se necesita WINS.

Si está usando WINS en su entorno, asegúrese de que todos los servidores también posean las direcciones IP
de los servidores WINS que desea usar en sus configuraciones de IP.

Procedimientos recomendados

Use los valores predeterminados para configurar los servidores WINS.

Evite usar entradas WINS estáticas que no sean para servidores críticos.

Seleccione por inserción/extracción al configurar los asociados de replicación.

Para obtener resultados óptimos en la replicación de WINS y el tiempo de convergencia, use un modelo de
diseño Concentrador y periferia.

Use sólo la cantidad necesaria de servidores WINS.


Para mejorar el rendimiento del servidor, adquiera hardware con características de rendimiento de disco
óptimas para administrar WINS.

Supervise y realice la compactación sin conexión regular.

Haga copias de seguridad regulares de la base de datos de WINS.

Configure clientes con más de una dirección IP de servidor WINS.

Configure cada uno de los equipos servidores de WINS para que se señalen a sí mismos.

Use NBTSTAT -RR para registrar y solucionar problemas relacionados con la conectividad del cliente.

Herramientas

Herramienta Usar para Dónde encontrarla

Consola de Administración local y Haga clic en Inicio y luego elija


administración remota de todas las Herramientas administrativas.
de Microsoft funciones y características Seleccione una herramienta
instaladas en Windows preconfigurada o escriba mmc en la
Server 2008. casilla Ejecutar para crear una consola
MMC personalizada basada en los
complementos especificados.

Herramienta Configuración del servicio Haga clic en Inicio y luego elija


administrativa WINS en servidores Herramientas administrativas.
de WINS remotos y en el servidor Seleccione WINS de las herramientas
local. administrativas disponibles.

Administrador Administración y Haga clic en Inicio y luego elija


de servidores mantenimiento de la Herramientas administrativas.
instalación y Seleccione Administrador de
desinstalación de servidores de las herramientas
funciones y administrativas disponibles.
características.

Herramienta Configuración del servicio Haga clic en Inicio y luego elija


administrativa DNS en servidores Herramientas administrativas.
de DNS remotos o en el servidor Seleccione DNS de las herramientas
local. administrativas disponibles.
Módulo 4: Configuración y solución de problemas de DHCP

Módulo 4

Configuración y solución de problemas de DHCP


Este módulo explica cómo configurar, administrar y solucionar problemas de Servidores de Protocolo de configuración
dinámica de host (DHCP) y ámbitos DHCP.

Lección 1: Descripción general de la función del servidor DHCP


Lección 2: Configuración de ámbitos y opciones DHCP
Lección 3: Administración de una base de datos DHCP
Lección 4: Supervisión y solución de problemas de DHCP
Lección 5: Seguridad de DHCP
Laboratorio: Configuración y solución de problemas de la función del servidor DHCP
Lección 1: Descripción general de la función del servidor DHCP
Lección 1:

Descripción general de la función del servidor DHCP

DHCP cumple una función importante en la infraestructura de Windows Server® 2008. Es el medio principal para
distribuir información de red relevante a clientes de red e incluye aspectos importantes de muchas otras herramientas
habilitadas para la red, incluyendo Servicios de implementación de Windows (WDS) y Protección de acceso a redes
(NAP). Al finalizar esta lección, podrá identificar los beneficios de DHCP y describir cómo funciona el protocolo DHCP
y cómo se controla DHCP en una red del servicio de directorio de Active Directory® de Windows Server 2008.
Beneficios de usar DHCP

Beneficios de usar DHCP

Puntos clave

El protocolo DHCP simplifica la configuración de clientes IP en un entorno de red.

Con la función del Servidor DHCP, se puede asegurar que todos los clientes tengan la misma información de
configuración, lo cual elimina el error humano durante la configuración.
Nuevas características de DHCP en Windows Server 2008

Nuevas características de DHCP en Windows Server 2008

Puntos clave

La función DHCP en Microsoft Windows Server 2008 es compatible con varias características nuevas.

Es compatible con la configuración con estado y sin estado de DHCPv6 para configurar clientes en un entorno
IPv6.

La Protección de acceso a redes con DHCP ayuda a aislar equipos potencialmente infectados con malware de
la red corporativa.

DHCP puede instalarse como una función en una instalación Server Core de Windows Server 2008.

Material de lectura adicional

Servidor DHCP

El Protocolo DHCPv6
Cómo DHCP asigna direcciones IP

Cómo DHCP asigna direcciones IP

Puntos clave

DHCP asigna direcciones IP basado en una dinámica denominada concesión. Se puede establecer el valor de
concesión a ilimitado. Sin embargo, por lo general el valor representa sólo unas pocas horas o días. El tiempo
predeterminado de concesión es de ocho horas.

Material de lectura adicional

How DHCP Works (Cómo funciona DHCP)


Cómo funciona la Generación de concesiones DHCP

Cómo funciona la Generación de concesiones DHCP

Puntos clave

El proceso de generación de concesiones del protocolo DHCP incluye cuatro pasos que habilitan al cliente para
obtener una dirección IP. Comprender cómo funciona cada paso ayudará a solucionar problemas cuando los clientes
no pueden obtener una dirección IP:

1. El cliente DHCP difunde un paquete DHCPDISCOVER.

2. Cualquier Servidor DHCP en la subred responderá difundiendo un paquete DHCPOFFER.

3. El cliente recibirá el paquete DHCPOFFER.

4. Los Servidores DHCP recibirán DHCPREQUEST.

Material de lectura adicional

Solicitudes de comentarios: 1531 Protocolo de configuración dinámica de host

TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 6 -
Dynamic Host Configuration Protocol (Capítulo 6: Protocolo de configuración dinámica de host)
Cómo funciona la Renovación de concesiones DHCP

Cómo funciona la Renovación de concesiones DHCP

Puntos clave

Cuando la concesión DHCP haya alcanzado el 50 por ciento del tiempo de la concesión, el cliente intentará renovarla.
Este es un proceso automático que se lleva a cabo en segundo plano. Los equipos pueden tener la misma dirección
IP durante un largo período si funcionan de manera continua en una red sin apagarse.

Material de lectura adicional

Solicitudes de comentarios: 1531 Protocolo de configuración dinámica de host


Autorización del servidor DHCP

Autorización del servidor DHCP

Puntos clave

DHCP permite que un equipo cliente obtenga información de configuración acerca de la red en la que se ha iniciado.
La comunicación DHCP se lleva a cabo antes de cualquier autenticación del usuario o del equipo y, debido a que el
protocolo DHCP se basa en difusiones IP, un Servidor DHCP configurado de manera incorrecta puede brindar
información no válida a los clientes. Para evitarlo, el servidor debe estar autorizado.

Material de lectura adicional

Recursos DHCP

Networking Collection (Colección de redes)


Demostración: Agregar la función del servidor DHCP

Demostración: Agregar la función del servidor DHCP


Lección 2: Configuración de ámbitos y opciones DHCP
Lección 2:

Configuración de ámbitos y opciones DHCP

Los administradores deben configurar los ámbitos DHCP al finalizar la instalación de la función DHCP en el servidor.
Un ámbito DHCP es el método principal a través del que se pueden configurar opciones para un grupo de direcciones
IP. Se basa en una subred IP y puede tener una configuración específica de hardware o grupos personalizados de
clientes. En esta lección, se describen los superámbitos, las opciones de ámbito y la administración de ámbitos.
¿Qué son los ámbitos DHCP?

¿Qué son los ámbitos DHCP?

Puntos clave

Un ámbito DHCP es un intervalo de direcciones IP disponibles para la concesión. Por lo general, un ámbito se limita a
las direcciones IP en una subred determinada.
¿Qué son los superámbitos y los ámbitos de multidifusión?

¿Qué son los superámbitos y los ámbitos de multidifusión?

Puntos clave

Un superámbito es una colección de ámbitos agrupados en un conjunto administrativo. Esto permite a los clientes
recibir una dirección IP de múltiples subredes lógicas, incluso cuando se encuentran en la misma subred física.

Un ámbito de multidifusión es una colección de direcciones de multidifusión del intervalo de direcciones IP clase D de
224.0.0.0 a 239.255.255.255. Estas direcciones se usan cuando las aplicaciones necesitan comunicarse de manera
eficaz con varios clientes al mismo tiempo.
Demostración: Configuración de ámbitos DHCP

Demostración: Configuración de ámbitos DHCP


¿Qué son las opciones DHCP?

¿Qué son las opciones DHCP?

Puntos clave

Los Servidores DHCP pueden configurar más que sólo una dirección IP. Además, brindan información acerca de los
recursos de red, tales como los Servidores DNS y la puerta de enlace predeterminada. Se pueden aplicar las opciones
DHCP a nivel del servidor, del ámbito, del usuario y del proveedor.

Un código de opción identifica las opciones DHCP y la mayoría de estos códigos proviene de la documentación
Solicitudes de comentarios (RFC) que se encuentra en el sitio web del Grupo de trabajo de ingeniería de Internet
(IETF).

Material de lectura adicional

DHCP Tools and Settings (Herramientas y configuración de DHCP)

Solicitudes de comentarios: 2132: Opciones DHCP y Extensiones de proveedor BOOTP


¿Qué son las opciones a nivel de clase DHCP?

¿Qué son las opciones a nivel de clase DHCP?

Puntos clave

Las opciones DHCP pueden aplicarse a distintos niveles, tales como a nivel de servidor y de ámbito. Quizá sea
necesario aplicar opciones de ámbito a tipos personalizados de equipos o grupos de usuarios específicos.

Se especifican las opciones a nivel de clase cuando se debe configurar un dispositivo que pertenece a una clase
determinada de una manera específica. Una clase es un grupo definido lógicamente en base a los atributos del
dispositivo basado en IP. Esto puede basarse en datos específicos del proveedor o puede estar definido por el
usuario.

Las opciones a nivel de clase incluyen:

Clase de proveedor

Clase de usuario

Material de lectura adicional

Recursos DHCP

Utilizar clases de opciones


¿Qué es una Reserva DHCP?

¿Qué es una Reserva DHCP?

Puntos clave

Se realiza una reserva DHCP cuando se aparta una dirección IP dentro de un ámbito para usarla con un cliente DHCP
determinado.

La configuración de reservas le permite centralizar la administración de direcciones IP fijas.

Se pueden configurar opciones DHCP personalizadas para las reservas. Esta configuración invalidará todas las otras
opciones DHCP que se configuren a niveles superiores.
Tamaño y disponibilidad de DHCP

Tamaño y disponibilidad de DHCP

Puntos clave

Al configurar ámbitos DHCP y opciones de ámbitos, debe considerarse cuántas direcciones IP asignar y cómo se
implementará la tolerancia a errores. El procedimiento recomendado es tener más de un Servidor DHCP en la red. En
caso de producirse un error en un servidor, habrá un servidor de reserva listo para conceder direcciones IP.

Material de lectura adicional

Configurar ámbitos

Prácticas recomendadas de DHCP


Cómo se aplican las opciones DHCP

Cómo se aplican las opciones DHCP

Puntos clave

Si ha configurado opciones DHCP a múltiples niveles (servidor, ámbito, clase y reserva), DHCP aplicará las opciones a
los equipos cliente en el siguiente orden:

1. Nivel de servidor

2. Nivel de ámbito

3. Nivel de clase

4. Nivel de cliente reservado

Es importante comprender estas opciones al solucionar problemas de DHCP.

Material de lectura adicional

Recursos DHCP
Demostración: Configuración de opciones DHCP

Demostración: Configuración de opciones DHCP


Lección 3: Administración de una base de datos DHCP

Lección 3:

Administración de una base de datos DHCP

La base de datos DHCP almacena información acerca de las concesiones de direcciones IP. Es importante
comprender cómo hacer una copia de seguridad de la base de datos y solucionar los problemas de la base de datos,
en caso de que ocurran. En esta lección se describe cómo administrar la base de datos y sus datos.
Descripción general de Escenarios de administración de DHCP

Descripción general de Escenarios de administración de DHCP

Puntos clave

La base de datos del Servidor DHCP contiene datos de configuración acerca del servidor DHCP e información acerca
de las concesiones de IP de cliente. Si esta información se daña o es inconsistente, puede causar errores de
configuración de red en los equipos de los clientes. También podría provocar que se ofrezca la misma dirección IP a
múltiples clientes.

Los escenarios de administración pueden incluir:

Administración del crecimiento de la base de datos DHCP.

Copias de seguridad y restauración.

Coherencia de la base de datos DHCP.

Movimiento de la base de datos DHCP.

Agregar clientes.

Agregar nuevos servidores de servicio de red.

Agregar nuevas subredes.


¿Qué es una base de datos DHCP?

¿Qué es una base de datos DHCP?

Puntos clave

La base de datos DHCP es el archivo de datos que almacena la información de configuración de DHCP y los datos de
concesión para clientes que han concedido una dirección IP desde el Servidor DHCP.

La base de datos del Servidor DHCP es dinámica y se actualiza a medida que se asignan los clientes DHCP o que
lanzan sus parámetros de configuración TCP/IP.
Cómo se hace una copia de seguridad y se restaura una base de datos
DHCP

Cómo se hace una copia de seguridad y se restaura una base de datos DHCP

Puntos clave

Se puede hacer una copia de seguridad de la base de datos DHCP de manera manual o configurarla para que se
realice automáticamente. La copia de seguridad automática se denomina sincrónica. La copia de seguridad manual se
denomina asincrónica.

Copia de seguridad automática (sincrónica). Se hace una copia de seguridad de la base de datos DHCP de
manera automática cada 60 minutos.

Copia de seguridad manual (asincrónica). Si existe la necesidad inmediata de crear una copia de seguridad, se
puede ejecutar la opción de copia de seguridad en la consola DHCP.

Material de lectura adicional

Backing up the DHCP database (Copia de seguridad de la base de datos DHCP)

Restaurar datos del servidor


Cómo conciliar una base de datos DHCP

Cómo conciliar una base de datos DHCP

Puntos clave

Conciliar ámbitos puede solucionar inconsistencias, tales como información incorrecta o faltante para las direcciones
IP de cliente que se almacenan en la información de una concesión de ámbito.

El servicio Servidor DHCP almacena información de concesión de direcciones IP de un ámbito de dos maneras:

Información detallada acerca de la concesión de direcciones IP, almacenada en la base de datos DHCP

Información resumida acerca de la concesión de direcciones IP, que almacena el Registro del servidor
Movimiento de una base de datos DHCP

Movimiento de una base de datos DHCP

Puntos clave

En caso de que deba moverse la función del Servidor DHCP a otro servidor, se recomienda mover también la base de
datos al nuevo servidor. Esto asegura que se conserven las concesiones de cliente y reduce la posibilidad de que
surjan problemas de configuración de cliente.

Inicialmente se mueve la base de datos haciendo una copia de seguridad de la misma en el Servidor DHCP anterior.
Luego, debe apagarse el servicio DHCP en el Servidor DHCP anterior. La base de datos DHCP se copia al nuevo
servidor, donde se la puede restaurar usando el procedimiento normal de restauración de la base de datos.
Opciones de configuración del servidor DHCP

Opciones de configuración del servidor DHCP

Puntos clave

Las opciones de configuración del Servidor DHCP definen los comportamientos de todo el servidor. Algunas
configuraciones también afectan los ámbitos que hospeda el servidor.

Opciones generales. Estas opciones habilitan al administrador para establecer las estadísticas de DHCP para
la depuración y la solución de problemas.

Opciones DNS. Es importante configurar las opciones DNS si existen dispositivos o sistemas operativos que
no actualizan su información DNS automáticamente.

Opciones de Protección de acceso a redes. Esto le permite configurar la aplicación de Protección de acceso a
redes (NAP) en uno o varios ámbitos.

Opciones avanzadas. Estas opciones le permiten al administrador forzar el Servidor DHCP para que
compruebe si existen conflictos de IP cuando un cliente DHCP solicita una dirección IP determinada.
Demostración: Administración de una base de datos DHCP

Demostración: Administración de una base de datos DHCP


Lección 4: Supervisión y solución de problemas de DHCP

Lección 4:

Supervisión y solución de problemas de DHCP

DHCP es el servicio principal en entornos de red modernos. Si el servicio DHCP no funciona correctamente o si existe
una situación que causa problemas con el Servidor DHCP, es importante saber que ocurre un problema y cómo
ubicarlo. En esta lección se examinarán problemas frecuentes de DHCP y se aprenderá a diagnosticarlos y
solucionarlos.
Descripción general de la supervisión de DHCP

Descripción general de la supervisión de DHCP

Puntos clave

DHCP es un protocolo dinámico. Con frecuencia, los cambios en el entorno de red causan cambios en el Servidor
DHCP para adaptarse al nuevo entorno.

DHCP cuenta con tres fuentes de información que pueden usarse para la supervisión:

Estadísticas de DHCP

Eventos DHCP en Visor de eventos

Datos de rendimiento de DHCP


Problemas frecuentes de DHCP

Problemas frecuentes de DHCP

Puntos clave

La siguiente tabla describe y brinda ejemplos de problemas frecuentes de DHCP:

Problema Descripción Ejemplo

Conflictos de Se ofrece la misma dirección IP a Un administrador elimina una concesión. Sin embargo, el
dirección dos clientes distintos. cliente que tiene la concesión aún cree que la concesión
es válida. Si el Servidor DHCP no comprueba la dirección
IP, puede lanzar la dirección IP a otra máquina causando
un conflicto de direcciones. Esto también puede ocurrir si
dos servidores DHCP tienen ámbitos superpuestos.

Error al obtener una El cliente no recibe una Si el controlador de la tarjeta de red de un cliente está
dirección DHCP dirección DHCP y, en cambio, configurado de manera incorrecta, puede causar un
recibe una dirección error al intentar obtener una dirección DHCP.
autoasignada de Dirección IP
privada automática (APIPA).

Dirección obtenida El cliente obtiene una dirección Por lo general, esto ocurre porque el cliente está
de un ámbito IP de un ámbito incorrecto, lo conectado a la red incorrecta.
incorrecto cual causa problemas en las
comunicaciones.

La base de datos La base de datos DHCP no se Un error de hardware puede dañar la base de datos.
DHCP sufre daño o puede leer o se pierde debido a
pérdida de datos un error de hardware.

El servidor DHCP Los ámbitos IP del servidor Se conceden todas las direcciones IP asignadas a un
agota su grupo de DHCP se han agotado. Todo ámbito.
direcciones IP nuevo cliente que solicite una
dirección IP será rechazado.
¿Qué son las estadísticas de DHCP?

¿Qué son las estadísticas de DHCP?

Puntos clave

Las estadísticas DHCP brindan información acerca de la actividad y el uso de DHCP. Se puede usar esta consola para
determinar rápidamente si existe un problema con el servicio DHCP o con los clientes DHCP de la red.
¿Qué es un archivo de registro de auditoría de DHCP?

¿Qué es un archivo de registro de auditoría de DHCP?

Puntos clave

El registro de auditoría brinda un registro rastreable de la actividad del Servidor DHCP. Se puede usar este registro
para realizar un seguimiento de las solicitudes de concesiones, de las concesiones y denegaciones y, además, esta
información permite solucionar problemas de rendimiento del Servidor DHCP.

Material de lectura adicional

Audit logging (Registro de auditoría)


Supervisión del rendimiento del servidor DHCP

Supervisión del rendimiento del servidor DHCP

Puntos clave

Los contadores de rendimiento de DHCP estarán disponibles luego de instalar la función del Servidor DHCP. Luego,
se podrá usar Monitor de rendimiento para cargar los contadores de rendimiento.

Un Servidor DHCP no debería, por lo general, tener una carga de red pesada. Sin embargo, si nota que las longitudes
de cola están registrando valores altos de manera constante, deberá comprobar el servidor en busca de cuellos de
botella que puedan estar reduciendo el rendimiento de DHCP.

Material de lectura adicional

Referencia de la supervisión de rendimiento de DHCP


Demostración: Supervisión de DHCP

Demostración: Supervisión de DHCP


Lección 5: Seguridad de DHCP

Lección 5:

Seguridad de DHCP

El protocolo DHCP no tiene ningún método integrado para autenticar usuarios. Esto significa que si no se toman
precauciones, podrían otorgarse concesiones IP a dispositivos y usuarios malintencionados. En esta lección, se
describe cómo impedir que los usuarios no autorizados obtengan una concesión, cómo administrar Servidores DHCP
Rogue y cómo configurar Servidores DHCP para que puedan ser administrados por un grupo específico.
Seguridad de DHCP

Seguridad de DHCP

Puntos clave

Las razones para asegurar DHCP incluyen:

Impedir que un usuario no autorizado obtenga una concesión.

Impedir que los Servidores DHCP no autorizados y que no sean de Microsoft concedan direcciones IP.

Restringir la administración de DHCP.


Impedir que un usuario no autorizado obtenga una concesión

Impedir que un usuario no autorizado obtenga una concesión

Puntos clave

DHCP por sí solo puede ser difícil de asegurar. Esto se debe a que el protocolo está diseñado para funcionar antes
de que la información necesaria esté lista para que un equipo cliente realice una autenticación con un controlador de
dominio.

Las precauciones básicas que deben tomarse para limitar el acceso no autorizado incluyen:

Asegurarse de reducir el acceso físico.

Habilitar el registro de auditoría en todos los Servidores DHCP.

Autenticar usuarios.

Implementar NAP.

Material de lectura adicional

Network Access Protection (Protección de acceso a redes)

Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab (Guía paso a paso: demostrar el
cumplimiento NAP para DHCP en un Laboratorio de prueba)
Impedir que los servidores DHCP no autorizados y que no sean de
Microsoft concedan direcciones IP

Impedir que los servidores DHCP no autorizados y que no sean de Microsoft concedan
direcciones IP

Puntos clave

Muchos dispositivos y sistemas operativos de red tienen implementaciones del Servidor DHCP. Las redes casi nunca
son homogéneas en su naturaleza y, por lo tanto, es posible que en algún momento un Servidor DHCP que no
comprueba si existen servidores autenticados de Active Directory sea habilitado en la red. En este caso, los clientes
pueden obtener datos de configuración incorrectos.

Para eliminar un Servidor DHCP no autorizado, debe buscarlo e impedir que se comunique en la red, ya sea
físicamente o deshabilitando el servicio DHCP.

Material de lectura adicional

Administrar el acceso al servidor


Restringir la administración de DHCP

Restringir la administración de DHCP

Puntos clave

El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en los
servidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso para
administrar Servidores DHCP.

La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que un
administrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.

Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.

Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.

Material de lectura adicional

Administrar el acceso al servidor


Laboratorio: Configuración y solución de problemas de la función del
servidor DHCP

Restringir la administración de DHCP

Puntos clave

El grupo Administradores DHCP está ubicado en los grupos integrados en los controladores de dominio o en los
servidores locales, ya que el grupo local Administradores DHCP se usa para restringir y otorgar acceso para
administrar Servidores DHCP.

La autorización de un servicio DHCP sólo está disponible para Administradores de Empresa. Si se necesita que un
administrador de nivel inferior autorice el dominio, es posible hacerlo usando la delegación de Active Directory.

Cualquier usuario del grupo Administradores DHCP puede administrar el servicio DHCP del servidor.

Cualquier usuario en el grupo Usuarios DHCP puede tener acceso de sólo lectura a la consola.

Material de lectura adicional

Administrar el acceso al servidor


Ejercicio 1: Instalación y autorización de la función del servidor DHCP

Ejercicio 1: Instalación y autorización de la función del servidor DHCP

Escenario

Ha sido designado como el Administrador de red en Woodgrove Bank, que ha abierto recientemente una nueva
división que necesita un servicio DHCP configurado para alrededor de 200 clientes. Debe configurar un Servidor
DHCP para la nueva división.

Descripción general del ejercicio

En este ejercicio, instalará la función DHCP y luego autorizará el servidor en el dominio woodgrovebank.com.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador.

2. Configurar la función del Servidor de DHCP en NYC-DC1.

3. Autorizar la función del Servidor de DHCP en NYC-DC1.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-CL1 e iniciar sesión como Administrador

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Configurar la función del Servidor DHCP en NYC-DC1

En NYC-DC1, use Administrador del servidor para agregar la función Servidor DHCP:

Enlace el servicio DHCP a la dirección IP: 10.10.0.10.

Use los valores predeterminados para todos los pasos excepto Deshabilitar DHCPv6 para aplicaciones en
esta red.

Asegúrese de que Omitir autorización de este Servidor DHCP en AD DS

Tarea 3: Autorizar la función del Servidor DHCP en NYC-DC1

En NYC-DC1, use la consola DHCP para autorizar el Servidor DHCP de NYC-DC1.woodgrovebank.com.


Ejercicio 2: Configuración de un ámbito DHCP

Ejercicio 2: Configuración de un ámbito DHCP

Escenario

Debe configurar un ámbito DHCP para alrededor de 200 clientes. El ámbito debe brindar información acerca del
servidor DNS y la puerta de enlace predeterminada como parte de la información que reciben los clientes al solicitar
una dirección DHCP.

Descripción general del ejercicio

En este ejercicio, configurará un nuevo ámbito DHCP, activará el ámbito y configurará opciones de ámbito de manera
tal que los clientes reciban la información correcta al conceder una dirección IP.

Las principales tareas se realizarán como se detalla a continuación:

1. Configurar un ámbito DHCP.

2. Configurar opciones de ámbito DHCP.

3. Probar el ámbito usando una estación de trabajo de cliente.

Tarea 1: Configurar un ámbito DHCP

1. En NYC-DC1, use la consola Administrador del servidor para crear un nuevo ámbito DHCP IPv4:

Nombre del ámbito: Ámbito de red de casa matriz

El intervalo de direcciones IP para el ámbito: De 10.10.0.1 a 10.10.0.254 usando una máscara de subred
255.255.0.0

Debe agregarse un intervalo de exclusiones de 10.10.0.1 a 10.10.0.30 para servidores y otros dispositivos que
usan una dirección IP estática

Una hora de duración de la concesión

No configure ninguna opción de ámbito adicional

2. En NYC-CL1, establezca las propiedades Conexión de área local para la configuración DHCP en las
propiedades IPv4 para la configuración de la dirección IP y de la resolución de DNS. Reinicie NYC-CL1 y luego
inicie sesión como Administrador usando la contraseña Pa$$w0rd.

3. Asegúrese de que el equipo cliente pueda obtener una dirección IP. Compruebe que el cliente esté
configurado con una puerta de enlace predeterminada.

Pregunta: ¿Por qué la Conexión de área local configurada para DHCP no tiene una puerta de enlace predeterminada?

Tarea 2: Configurar opciones de ámbito DHCP

En NYC-DC1, use la consola DHCP para configurar la opción de ámbito DHCP Enrutador 003 para que se
dirija a 10.10.0.1.

Nota: Asegúrese de configurar las opciones de ámbito y no las opciones del servidor.

Tarea 3: Probar el ámbito usando una estación de trabajo de cliente

En NYC-CL1, use el símbolo del sistema y la utilidad ipconfig para probar si el cliente puede obtener una
dirección IP y una puerta de enlace predeterminada, tal como lo especifica la tarea anterior.
Ejercicio 3: Solución de problemas frecuentes de DHCP

Ejercicio 3: Solución de problemas frecuentes de DHCP

Escenario

El Servidor DHCP ahora está configurado. Para asegurar un tiempo de inactividad mínimo, su departamento ha
solicitado que el equipo de administración de DHCP solucione varios escenarios potenciales de problemas de
configuración.

Descripción general del ejercicio

Ejecutará un script que configurará el Servidor DHCP de manera tal que no funcione correctamente. Solucionará los
problemas de configuración causados por el script usando la información disponible.

Las principales tareas se realizarán como se detalla a continuación:

1. Comprobar la información de concesión DHCP.

2. Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración.

3. Comprobar la capacidad de un cliente para conceder una dirección IP.

4. Determinar por qué el Servidor DHCP no está asignando direcciones IP.

5. Identificar la información que se ha modificado.

6. Configurar el Servidor DHCP con la información correcta del enrutador.

7. Configurar el Servidor DHCP con la información correcta del Servidor DNS.

8. Configurar DHCP con el período adecuado de concesión.

9. Comprobar la información concedida al cliente.

10. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Comprobar la información de concesión DHCP

En NYC-CL1, compruebe la información de concesión y observe la siguiente configuración:

Dirección IPv4

Máscara de subred

Puerta de enlace predeterminada

Duración de la concesión

Tarea 2: Modificar la configuración del Servidor DHCP usando scripts para simular problemas de configuración

En un símbolo del sistema, ejecute el script D:\ArchivosdeLaboratorio\Módulo4\DHCP.vbs.

Tarea 3: Comprobar la capacidad de un cliente para conceder una dirección IP

En NYC-CL1, use ipconfig para determinar el problema más grave que afecta al Servidor DHCP.

Tarea 4: Determinar por qué el Servidor DHCP no está asignando direcciones IP

En NYC-DC1, determine si el ámbito DHCP está activado.

Tarea 5: Identificar la información que se ha modificado

En NYC-CL1, identifique la información que ha cambiado. Compare la configuración con la observada antes de
ejecutar el script DHCP.VBS.
Tarea 6: Configurar el Servidor DHCP con la información correcta del enrutador

En NYC-DC1, compruebe la información del enrutador configurada en las opciones de ámbito.

Tarea 7: Configurar el Servidor DHCP con la información correcta del Servidor DNS

En NYC-DC1, compruebe la información del servidor DNS configurada en las opciones de ámbito.

Tarea 8: Configurar DHCP con el período adecuado de concesión

En NYC-DC1, compruebe que el período de concesión configurado en las propiedades del ámbito sea
correcto.

Tarea 9: Comprobar la información concedida al cliente

En NYC-CL1, use ipconfig para asegurarse de que el cliente esté configurado como lo estaba antes de
ejecutar el script DHCP.VBS.

Tarea 10: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Lab Review

Preguntas de revisión

1. ¿Cuál es el beneficio principal de usar DHCP?

2. ¿Con qué nueva característica de seguridad se integra DHCP para forzar a los equipos cliente a cumplir con las
directivas de seguridad de la compañía?

3. ¿Cuáles son los cuatro mensajes de difusión DHCP que se usan cuando se realiza una concesión correcta de
direcciones?

4. ¿En qué momento de una concesión DHCP por lo general el cliente renueva la concesión automáticamente?

5. ¿Por qué usaría un superámbito?

6. ¿Cuáles son los tres orígenes de datos para supervisar DHCP?

Sugerencias acerca de problemas frecuentes y su resolución

Autorización DHCP:

Los Servidores DHCP basados en Windows no concederán direcciones IP a menos que estén autorizados.
Asegúrese de activar el ámbito al autorizar el servicio DHCP. También es importante recordar que los Servidores
DHCP independientes se colocarán en modo sin conexión si detectan otro Servidor DHCP autorizado en la red.

DHCP y subredes múltiples:

Al usar DHCP para suministrar direcciones a varias subredes, asegúrese de que el Servidor tenga una interfaz en la
red en la cual esté definido el ámbito. Por ejemplo, si el ámbito se define dentro del intervalo de 10.10.0.50 a
10.10.0.100, el Servidor DHCP deberá tener una dirección IP en la subred donde esté definido el ámbito. Una
alternativa a tener un Servidor DHCP con múltiples interfaces de red es configurar un agente de retransmisión DHCP.

Direcciones APIPA:

La dirección IP privada automática (APIPA) es una dirección que se asigna un equipo cuando está configurado para
usar DHCP pero no puede obtener una concesión de direcciones. Una dirección APIPA se iniciará con 169.254. en los
primeros dos octetos de la dirección IP. (Este es un espacio IP reservado especificado en RFC). Por ejemplo, puede
asignarse una dirección APIPA si los medios que conectan al cliente no funcionan o si no puede contactarse al
Servidor DHCP. Si un único cliente experimenta problemas, por lo general el problema estará relacionado con el
cliente. Sin embargo, si múltiples clientes se asignan direcciones APIPA, es más probable que el problema esté
relacionado con el Servidor DHCP o con la configuración de red que usa el Servidor DHCP.

Procedimientos recomendados

Use la regla de diseño 80/20 para equilibrar la distribución del ámbito de direcciones donde se implementan
múltiples Servidores DHCP para prestar servicio al mismo ámbito.

Usar más de un Servidor DHCP en la misma subred brinda una mayor tolerancia a errores para prestar servicio a los
clientes DHCP ubicados en ella. Al usar dos Servidores DHCP, si un servidor no está disponible, el otro podrá tomar
su lugar y continuará la concesión de nuevas direcciones o la renovación de clientes existentes.

Un procedimiento frecuente al equilibrar una única red y un único intervalo de direcciones de ámbito entre dos
Servidores DHCP es que un Servidor DHCP distribuya el 80 por ciento de las direcciones y que el segundo Servidor
DHCP suministre el 20 por ciento restante.

Use superámbitos para múltiples Servidores DHCP en cada subred en un entorno de LAN.

Al iniciarse, cada cliente DHCP difunde un mensaje de descubrimiento de DHCP (DHCPDISCOVER) a su subred local
para intentar encontrar un Servidor DHCP. Puesto que los clientes DHCP usan difusiones durante su configuración
inicial, no es posible predecir qué servidor responderá a la solicitud de descubrimiento de DHCP de un cliente si hay
más de un Servidor DHCP activo en la misma subred.
Use un nuevo superámbito configurado de manera similar en todos los servidores. El superámbito debe incluir todos
los ámbitos válidos de la subred como ámbitos miembro. Para configurar ámbitos miembro en cada servidor, las
direcciones sólo deben estar disponibles en uno de los Servidores DHCP de la subred. Para los demás servidores de
la subred, use intervalos de exclusión para los mismos intervalos de direcciones de ámbito al configurar los ámbitos
correspondientes.

Desactive ámbitos únicamente al quitar un ámbito del servicio de manera permanente. Si sólo se pretende
desactivar temporalmente las direcciones del ámbito, puede conseguirse el resultado deseado mediante la
edición o modificación de los intervalos de exclusión de un ámbito activo.

Use la detección de conflictos del servidor en los Servidores DHCP sólo si resulta necesario.

Tanto los servidores como los clientes DHCP pueden usar la detección de conflictos para determinar si una dirección
IP ya está en uso en la red, antes de concederla o usarla.

Windows 2000, Windows XP y Windows Vista™ detectan conflictos de IP usando una solicitud APR. De manera
predeterminada, el servicio DHCP no realiza la detección de conflictos. Para habilitar la detección de conflictos,
aumente el número de intentos de ping que realiza el servicio DHCP para cada dirección antes de conceder dicha
dirección a un cliente.

Tenga en cuenta que por cada intento de detección de conflictos adicional que realiza el servicio DHCP, se agregan
segundos al tiempo necesario para negociar las concesiones para los clientes DHCP.

Por lo general, si se usa la detección de conflictos del Servidor DHCP deberá establecer el número de intentos de
detección de conflictos que realiza el servidor para usar uno o dos ping como máximo. De este modo, se disfrutan los
beneficios de esta característica sin reducir el rendimiento del Servidor DHCP.

Se deben crear reservas en todos los Servidores DHCP que puedan, potencialmente, brindar servicio al cliente
reservado.

Se puede usar una reserva de cliente para garantizar que un equipo cliente DHCP siempre reciba la concesión de la
misma dirección IP al iniciarse. Si un cliente reservado puede tener acceso a más de un Servidor DHCP, agregue la
reserva a cada uno de los demás Servidores DHCP.

Esto permite que los demás Servidores DHCP reconozcan la reserva de dirección IP de cliente realizada para el
cliente reservado. Aunque la reserva de cliente sólo tiene efecto para el Servidor DHCP donde la dirección reservada
forma parte del grupo de direcciones disponibles, se puede crear la misma reserva en otros Servidores DHCP que
excluyan esta dirección.

En cuanto al rendimiento del servidor, tenga en cuenta que DHCP usa el disco de modo intensivo, por lo que
deberá adquirir hardware con características óptimas de rendimiento de disco.

DHCP genera una actividad frecuente e intensa en los discos duros del servidor. Para brindar el mejor rendimiento,
tenga en cuenta las soluciones de la matriz redundante de discos independientes (RAID) al adquirir hardware para su
equipo servidor que mejora el tiempo de acceso al disco.

Al evaluar el rendimiento de los Servidores DHCP, se debe evaluar DHCP como parte de la evaluación completa de
rendimiento de todo el servidor. La supervisión del rendimiento del hardware del sistema en las áreas de uso con
mayor demanda (es decir, CPU, memoria y entrada y salida de disco), permite obtener la mejor evaluación para
determinar si el Servidor DHCP está sobrecargado y si debe actualizarse.

Tenga en cuenta que el servicio DHCP incluye varios contadores del Monitor de sistema que se pueden usar para
supervisar el servicio.

Mantenga habilitado el registro de auditoría para usarlo para solucionar problemas.

De manera predeterminada, el servicio DHCP habilita el registro de auditoría de los eventos relacionados con el
servicio. El registro de auditoría brinda una herramienta de supervisión del servicio a largo plazo que hace que el uso
de los recursos de disco del servidor sea limitado y seguro.

Reduzca el tiempo de la concesión para los clientes DHCP que usan el servicio Enrutamiento y acceso remoto
para obtener acceso remoto.

Aumente la duración de las concesiones de ámbito en redes estables y fijas de gran tamaño si hay suficiente
espacio de direcciones disponible.

Use la cantidad adecuada de Servidores DHCP para la cantidad de clientes habilitados para DHCP en la red.

En una LAN pequeña (por ejemplo, una subred física que no usa enrutadores), un único Servidor DHCP puede prestar
servicio a todos los clientes habilitados para DHCP. En redes enrutadas, la cantidad de servidores necesarios aumenta
en función de varios factores, entre los que se incluyen la cantidad de clientes habilitados para DHCP, la velocidad de
transmisión entre segmentos de red, la velocidad de los vínculos de red, si se usa el servicio DHCP en toda la red de
la empresa o sólo en redes físicas seleccionadas y la clase de direcciones IP de la red.

Herramientas

Consola DHCP

El método principal para administrar DHCP es usar la consola DHCP. La consola está ubicada en Herramientas
administrativas. También se puede usar la consola para administrar instancias de Server Core de la función del
Servidor DHCP de manera remota.

Herramientas de línea de comandos

La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y administrar
DHCP:

Comando Descripción

Netsh Use el comando Netsh para configurar DHCP usando la línea de


comandos.

Ipconfig Use este comando para solicitar e interactuar con el servidor


DHCP desde el lado cliente.

DHCPLoc.exe Esta herramienta es parte del Kit de recursos de Microsoft y


puede usarse para buscar servidores DHCP activos en la subred.
Módulo 5: Configuración y solución de problemas de TCP/IP de IPv6
Módulo 5

Configuración y solución de problemas de TCP/IP de IPv6


La compatibilidad con el Protocolo de Internet versión 6 (IPv6), un nuevo conjunto de protocolos estándar para el nivel
de red de Internet, está integrada en Windows Server® 2008.

IPv6 es una tecnología esencial que permitirá asegurar que Internet pueda administrar una base de usuarios creciente
y un número cada vez mayor de dispositivos habilitados para IP. El Protocolo de Internet versión 4 (IPv4) actual ha
actuado como el protocolo de Internet subyacente durante casi 30 años. En la actualidad, su solidez, escalabilidad y el
conjunto limitado de características debe hacer frente al desafío que plantea la creciente necesidad de nuevas
direcciones IP debido en gran medida al rápido crecimiento de los nuevos dispositivos con capacidad de red.

Lección 1: Descripción general de IPv6


Lección 2: Coexistencia con IPv6
Lección 3: Tecnologías de tunelización IPv6
Laboratorio A: Configuración de un enrutador ISATAP
Lección 4: Transición de IPv4 a IPv6
Lección 5: Solución de problemas de IPv6
Laboratorio B: Conversión de red
Lección 1: Descripción general de IPv6

Lección 1:

Descripción general de IPv6

Poco a poco, el uso de IPv6 se está volviendo más frecuente. Aunque su adopción puede ser lenta, es importante
comprender cómo afectará esta tecnología a las redes actuales y cómo se debe integrar IPv6 en dichas redes. En la
siguiente lección se describirán los beneficios de IPv6, se la comparará con IPv4 y se detallarán los tipos básicos de
direcciones IPv6. Una vez finalizada esta lección, habrá comprendido las direcciones globales, locales del vínculo,
locales del sitio y locales únicas.
Beneficios de IPv6

Beneficios de IPv6

Puntos clave

El protocolo IPv6 brinda los siguientes beneficios:

Espacio de direcciones grande

Infraestructura de direccionamiento y enrutamiento jerárquico

Configuración de direcciones sin estado y con estado

Seguridad integrada

Entrega con prioridad

Detección de vecinos

Extensibilidad

Material de lectura adicional

IPv6
Diferencias entre IPv4 e IPv6

Diferencias entre IPv4 e IPv6

Puntos clave

La siguiente tabla resalta las diferencias entre IPv4 e IPv6:

IPv4 IPv6

Las direcciones de origen y de destino tienen 32 bits Las direcciones de origen y de destino tienen 128 bits (16
(4 bytes) de longitud. bytes) de longitud.

La compatibilidad con IPsec es opcional. Se requiere compatibilidad con IPsec.

Los enrutadores no realizan la identificación de flujo La identificación de flujo de paquetes para el manejo QoS
de paquetes para el manejo de Calidad de servicio por parte de los enrutadores está incluida en el encabezado
(QoS) dentro del encabezado IPv4 IPv6 usando el campo Etiqueta de flujo.

Ambos enrutadores y el host remitente realizan la Los enrutadores no realizan la fragmentación, sólo lo hace el
fragmentación. host remitente.

El encabezado incluye una suma de comprobación. El encabezado no incluye una suma de comprobación.

El encabezado incluye opciones. Se transfieren todos los datos opcionales a los encabezados
de extensión IPv6

El Protocolo de resolución de direcciones (ARP) usa Los marcos de solicitud ARP son reemplazados por
marcos de solicitud ARP de difusión para resolver una mensajes de solicitud de vecinos de multidifusión.
dirección IPv4 a una dirección de nivel de vínculos.
Se usa el Protocolo de administración de grupos de IGMP se reemplaza por los mensajes de Descubrimiento de
Internet (IGMP) para administrar la pertenencia a escucha de multidifusión (MLD).
grupos de subredes locales.

La Detección de enrutadores del Protocolo de La Detección de enrutador ICMP, de carácter obligatorio, se


mensajes de control de Internet (ICMP), de carácter reemplaza por los mensajes de solicitud de enrutador y
opcional, se usa para determinar la dirección IPv4 de mensajes de anuncio de enrutador de ICMPv6.
la mejor puerta de enlace predeterminada.

Se usan las direcciones de difusión para enviar tráfico No hay direcciones de difusión IPv6. En cambio, se usa una
a todos los nodos en una subred. dirección de multidifusión para todos los nodos en el ámbito
local del vínculo.

Debe configurarse de manera manual o mediante No requiere configuración manual o DHCP.


DHCP.

Usa registros de recursos de dirección de host (A) en Usa registros de recursos de dirección de host (AAAA) en
el Sistema de nombres de dominio (DNS) para DNS para asignar nombres de host a las direcciones IPv6.
asignar nombres de host a las direcciones IPv4.

Usa registros de recursos de puntero (PTR) en el Usa registros de recursos PTR en el dominio DNS
dominio DNS IN-ADDR.ARPA para asignar IP6.ARPA para asignar direcciones IPv6 a los nombres de
direcciones IPv4 a los nombres de host. host.

Debe ser compatible con un tamaño de paquete de Debe ser compatible con un tamaño de paquete de 1280
576 bytes (posiblemente fragmentado). bytes (sin fragmentación).
Implementaciones de IPv6 usando tecnologías de Microsoft

Implementaciones de IPv6 usando tecnologías de Microsoft

Puntos clave

Para todas las implementaciones de IPv6 de Microsoft, se puede usar IPv6 sin afectar las comunicaciones IPv4.
Observe que IPv6 es una implementación de pilas duales en Windows XP SP2 y Windows Server 2003 y una
implementación de doble nivel para Windows Vista y Windows Server 2008.
Espacio de direcciones IPv6

Espacio de direcciones IPv6

Puntos clave

La característica más destacada de IPv6 es que se usa para direcciones considerablemente más extensas.

Las direcciones IP de IPv4 se expresan en cuatro grupos de números decimales, como por ejemplo 192.168.1.1.

Cada agrupación de números representa un octeto binario. En formato binario, el número anterior es:

11000000.10101000.00000001.00000001 (4 octetos = 32 Bits)

El tamaño de una dirección en IPv6 es de 128 bits, es decir, su tamaño es cuatro veces mayor que una dirección IPv4.
Además, las direcciones IPv6 se representan como direcciones hexadecimales en su formato “legible”. Por ejemplo,
2001:DB8:0:2F3B:2AA:FF:FE28:9C5A.

Es posible que esto resulte ilógico para los usuarios finales. Sin embargo, se supone que los usuarios promedio se
basarán en los nombres DNS para resolver los hosts y que con poca frecuencia escribirán las direcciones IPv6
manualmente. La dirección IPv6 en formato hexadecimal es más fácil de convertir a formato binario y viceversa. Esto
simplifica el trabajo con las subredes y el cálculo de los hosts y las redes.

Material de lectura adicional

Introducción a IP versión 6
Prefijos IPv6

Prefijos IPv6

Puntos clave

Al igual que el espacio de direcciones IPv4, el espacio de direcciones IPv6 se divide al asignar partes del espacio de
direcciones disponible para las diversas funciones de IP. Los bits de valor superior (bits que se encuentran al
comienzo de la dirección IPv6 de 128 bits) definen las áreas de manera estática en el espacio IP. Los bits de valor
superior y sus valores fijos se denominan prefijo de formato.
Tipos de direcciones IPv6 de unidifusión

Tipos de direcciones IPv6 de unidifusión

Puntos clave

Una dirección de unidifusión identifica una única interfaz dentro del ámbito del tipo de dirección de unidifusión. Con la
topología de enrutamiento de unidifusión apropiada, los paquetes dirigidos a una dirección de unidifusión se envían a
una única interfaz.

Entre los tipos de dirección IPv6 de unidifusión se encuentran:

Direcciones de unidifusión globales

Direcciones de unidifusión de uso local

Direcciones de unidifusión IPv6 locales únicas


Direcciones IPv6 asignadas a hosts y enrutadores

Direcciones IPv6 asignadas a hosts y enrutadores

Puntos clave

Un host IPv6, incluyendo aquellos con sólo una interfaz, con frecuencia posee direcciones IPv6 múltiples. De manera
predeterminada, las direcciones locales del vínculo se configuran automáticamente para cada interfaz en cada host o
enrutador IPv6. Para comunicarse con nodos no vecinos, un host también debe estar configurado con direcciones
globales o locales del sitio de unidifusión. Un host obtiene estas direcciones adicionales ya sea desde los anuncios de
enrutador o mediante asignación manual. Use los comandos en el contexto netsh interfase ipv6 para configurar las
direcciones IPv6 manualmente.

En IPv6, con frecuencia se asignan las siguientes direcciones a los hosts y enrutadores:

Direcciones de unidifusión

Direcciones de multidifusión (para escuchar el tráfico de multidifusión)

Además, los enrutadores IPv6 poseen las siguientes direcciones:

Direcciones de multidifusión

Direcciones de cualquier difusión


Id. de zona

Id. de zona

Puntos clave

A diferencia de las direcciones globales, es posible reutilizar las direcciones de uso local. Las direcciones locales del
vínculo se reutilizan en cada vínculo. Es posible reutilizar las direcciones locales del sitio en cada sitio de una
organización. Las direcciones locales del vínculo y del sitio son ambiguas debido a esta capacidad de reutilización de
direcciones.

Es necesario usar un identificador adicional para especificar a qué vínculo se asigna una dirección, en qué vínculo se
ubica una dirección o en qué sitio se asigna o ubica una dirección. Este identificador adicional es un identificador de
zona (ID), también denominado identificador de ámbito, que identifica una parte conectada de una red que tiene un
ámbito determinado. La sintaxis especificada en RFC 4007 para identificar la zona asociada con una dirección de uso
local es como se muestra a continuación:

Dirección%zona_ID
Autoconfiguración de direcciones para IPv6

Autoconfiguración de direcciones para IPv6

Puntos clave

El host puede pasar a través de varios estados a medida que realiza el proceso de autoconfiguración y existen muchas
maneras de asignar una dirección IP e información. En base al modo en que se configura el enrutador, es posible que
un cliente use una configuración sin estado (no servicio DHCP) o con estado con un servidor DHCP involucrado, con el
fin de asignar una dirección IP y otra información de red o simplemente asignar otra información de red. La otra
información hace referencia a los servidores DNS y las puertas de enlace.

Las direcciones autoconfiguradas se encuentran en uno o varios de los siguientes estados:

Tentativo. Se realiza la comprobación para determinar si la dirección es única.

Válido. Se comprobó que la dirección es única y que puede enviar y recibir tráfico de unidifusión.

Preferido. La dirección habilita un nodo para enviar y recibir tráfico de unidifusión hacia y desde éste.

Obsoleto. La dirección es válida pero no se recomienda su uso para nuevas comunicaciones.

Inválido. La dirección ya no permite que un nodo envíe o reciba tráfico de unidifusión.

Los tipos de autoconfiguración incluyen:

Sin estado. La configuración de direcciones se basa en la recepción de mensajes de anuncio de enrutador con
los marcadores Configuración de dirección administrada y Otra configuración activa establecidos en 0 y una o
varias opciones de Información de prefijos.

Con estado. La configuración se basa en el uso de un protocolo de configuración de direcciones con estado,
como por ejemplo DHCPv6, para obtener direcciones y otras opciones de configuración.

Ambos. La configuración se basa en la recepción de mensajes de anuncio de enrutador con opciones de


Información de prefijos y los marcadores Configuración de dirección administrada u Otra configuración activa
establecidos en 1.

Material de lectura adicional

Introducción a IP versión 6
Demostración: Configuración de cliente IPv6

Demostración: Configuración de cliente IPv6


Lección 2: Coexistencia con IPv6
Lección 2:

Coexistencia con IPv6

Desde sus inicios, IPv6 fue diseñado en base al concepto de que debe ser capaz de coexistir, por mucho tiempo, con
IPv4. Esta lección brinda una descripción general de las tecnologías que son compatibles con la coexistencia de los
dos protocolos IP. Una vez finalizada esta lección, habrá aprendido y podrá describir los diferentes tipos de nodos y
las implementaciones de pilas IP de IPv6 y, además, el modo en que DNS define las direcciones IPv6 y los diversos
tipos de tecnologías de tunelización IPv6.
¿Qué son los tipos de nodo?

¿Qué son los tipos de nodo?

Puntos clave

Cuando se planea una red IPv6, es importante conocer qué tipos de nodos o hosts están en la red. Al describir los
nodos de las siguientes maneras, se pueden definir sus capacidades en la red. Esto es importante para la tunelización
ya que existen determinadas clases de túneles que requieren tipos de nodos específicos, incluyendo:

Nodo sólo IPv4. Un nodo que implementa sólo IPv4 (y cuenta solamente con direcciones IPv4) y no es
compatible con IPv6.

Nodo sólo IPv6. Un nodo que implementa sólo IPv6 (y cuenta solamente con direcciones IPv6) y no es
compatible con IPv4.

Nodo IPv6/IPv4. Un nodo que implementa tanto IPv4 como IPv6.

Nodo IPv4. Un nodo que implementa IPv4. Puede ser un nodo sólo IPv4 o un nodo IPv6/IPv4.

Nodo IPv6. Un nodo que implementa IPv6. Puede ser un nodo sólo IPv6 o un nodo IPv6/IPv4.
Coexistencia de IPv4 e IPv6

Coexistencia de IPv4 e IPv6

Puntos clave

Para coexistir con una infraestructura IPv4 y brindar una transición final a una infraestructura sólo IPv6, puede usar los
siguientes mecanismos:

Arquitectura de doble nivel IP (Windows Vista y Windows Server 2008).

Arquitectura de pila dual (Windows Server 2003 y Windows XP).

Requisitos de infraestructura DNS.

Tunelización IPv6 sobre IPv4.

Material de lectura adicional

IPv6 Transition Technologies (Tecnologías de transición IPv6)


¿Qué es una arquitectura de doble nivel?

¿Qué es una arquitectura de doble nivel?

Puntos clave

Una arquitectura de doble nivel IP contiene niveles de Internet tanto IPv4 como IPv6 con una única implementación de
protocolos de niveles de transporte, tales como TCP y UDP. La pila dual permite hacer una migración más simple a
IPv6. Existe una menor cantidad de archivos que conservar para brindar conectividad IPv6. IPv6 también está
disponible sin agregar nuevos protocolos en la configuración de la tarjeta de red.

Los tipos de paquetes incluyen:

Paquetes IPv4

Paquetes IPv6

Paquetes IPv6 sobre IPv4 (paquetes IPv6 encapsulados con un encabezado IPv4)
¿Qué es una arquitectura de pila dual?

¿Qué es una arquitectura de pila dual?

Puntos clave

Una arquitectura de pila dual contiene niveles de Internet tanto IPv4 como IPv6 con pilas de protocolo independientes
que contienen implementaciones individuales de protocolos de niveles de transporte, tales como TCP y UDP.

El protocolo IPv6 para Windows Server 2003 y Windows XP usa la arquitectura de pila dual. El controlador de
protocolo IPv6 en Windows Server 2003 y Windows XP, Tcpip6.sys, contiene una implementación independiente de
TCP y UDP.

Los tipos de paquetes incluyen:

Paquetes IPv4

Paquetes IPv6

Paquetes IPv6 sobre IPv4


¿Cómo DNS es compatible con IPv6?

¿Cómo DNS es compatible con IPv6?

Puntos clave

Se necesita una infraestructura DNS para una coexistencia satisfactoria debido al uso frecuente de nombres en lugar
de direcciones para referirse a recursos de red. La actualización de la infraestructura DNS consiste en rellenar los
servidores DNS con registros para que sean compatibles con las resoluciones de nombre a dirección y de dirección a
nombre de IPv6. Una vez que se obtuvieron las direcciones usando la consulta de nombres DNS, el nodo remitente
debe seleccionar qué direcciones desea usar para la comunicación.
Demostración: Configuración de DNS para que sea compatible con IPv6

Demostración: Configuración de DNS para que sea compatible con IPv6


¿Qué es la tunelización IPv6 sobre IPv4?

¿Qué es la tunelización IPv6 sobre IPv4?

Puntos clave

La tunelización IPv6 sobre IPv4 es la encapsulación de los paquetes IPv6 con un encabezado IPv4 a fin de que los
paquetes IPv6 puedan enviarse sobre una infraestructura IPv4. Dentro del encabezado IPv4:

El campo Protocolo IPv4 está establecido en 41 para indicar un paquete IPv6 encapsulado.

Los campos Origen y Destino están establecidos como direcciones IPv4 de extremos de túnel. Los extremos
de túnel pueden configurarse manualmente como parte de la interfaz de túnel o se derivan automáticamente de
la dirección de próximo salto de la ruta coincidente para el destino y la interfaz de tunelización.

Nota: A diferencia de la tunelización para el Protocolo de túnel punto a punto (PPTP) y el protocolo de túnel de capa
dos (L2TP), no existe intercambio de mensajes para la instalación, mantenimiento o finalización del túnel. Además, la
tunelización IPv6 sobre IPv4 no brinda seguridad a los paquetes IPv6 de túnel. Es decir que cuando se usa la
tunelización IPv6 no es necesario establecer primero una conexión. Además, la tunelización infiere que ésta sólo se
llevará a cabo mediante redes IPv4 y el túnel no se cifrará.
Lección 3: Tecnologías de tunelización IPv6
Lección 3:

Tecnologías de tunelización IPv6

Una transición final satisfactoria a IPv6 requiere de la coexistencia provisoria de los nodos IPv6 en el entorno
predominantemente IPv4 actual. Para adecuarse a lo anterior, los paquetes IPv6 se envían por túnel de modo
automático sobre infraestructuras de enrutamiento IPv4, habilitando a los clientes IPv6 a comunicarse entre sí usando
direcciones 6to4 o direcciones del Protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP) y
enviando paquetes IPv6 por túnel a través de las redes IPv4. Esta lección brinda información acerca de las diversas
tecnologías de tunelización disponibles en IPv6.
Configuraciones de tunelización

Configuraciones de tunelización

Puntos clave

RFC 2893 define las siguientes configuraciones de tunelización con las que se debe enviar por túnel el tráfico IPv6
entre los nodos IPv6/IPv4 sobre una infraestructura IPV4:

Enrutador a enrutador

Host a enrutador o Enrutador a host

Host a host
Tipos de túneles

Tipos de túneles

Puntos clave

RFC 2893, “Mecanismos de transición para hosts y enrutadores IPv6" define los siguientes tipos de túneles:

Configurado

Automático

Material de lectura adicional

RFC 2893: Mecanismos de transición para hosts y enrutadores IPv6


Uso de tecnologías de tunelización

Uso de tecnologías de tunelización

Puntos clave

Las tecnologías de tunelización usadas para la tunelización de IPv6 sobre IPv4 incluyen:

ISATAP

6to4

Teredo

PortProxy

Para facilitar la comunicación entre los nodos y las aplicaciones que no pueden conectarse usando un protocolo de
nivel de Internet común (IPv4 o IPv6), el protocolo IPv6 para Windows Server 2008 brinda PortProxy, un componente
que permite el envío a través de proxy del siguiente tráfico:

IPv4 a IPv4

IPv4 a IPv6

IPv6 a IPv6

IPv6 a IPv4

Material de lectura adicional

IPv6 Transition Technologies (Tecnologías de transición IPv6)


¿Qué es la tunelización ISATAP?

¿Qué es la tunelización ISATAP?

Puntos clave

ISATAP es una tecnología de tunelización automática de host a host, host a enrutador y enrutador a host y asignación
de direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts IPv6/IPv4 a través de una
intranet IPv4. Los hosts ISATAP no requieren configuración manual y pueden crear direcciones ISATAP usando
mecanismos estándar de autoconfiguración de direcciones.

¿Qué es un enrutador ISATAP?

ISATAP permite que los clientes IPv6 en una subred IPv4 se comuniquen sin realizar una configuración manual
adicional. Un enrutador ISATAP permite que los clientes se comuniquen con otros clientes IPv6 en subredes IPv6
puras o mixtas.

Cómo funciona la tunelización ISATAP

La tunelización ISATAP puede iniciarse de varias maneras. Es posible determinar el enrutador ISATAP colocando el
nombre “ISATAP” en una dirección IPv4 o usando el comando Netsh Interface IPv6 ISATAP set Router.

Material de lectura adicional

RFC 4214: Intra-Site Automatic Tunnel Addressing Protocol (ISATAP, Protocolo de direccionamiento
automático de túnel dentro de un sitio)
Laboratorio A: Configuración de un enrutador ISATAP

Laboratorio A: Configuración de un enrutador ISATAP

Objetivos

Configurar una nueva red y cliente IPv6

Configurar un enrutador ISATAP para habilitar las comunicaciones entre la red IPv4 y la red IPv6

Antes de empezar:

Para poder simular redes múltiples, debe configurar lo siguiente antes de iniciar las máquinas virtuales:

1. En la máquina host, abra el Sitio web de Administración de Virtual Server.

2. En el panel izquierdo, en Redes virtuales, haga clic en Agregar. En el panel de detalles, junto a Archivo de
configuración (.vnc) existente, escriba lo siguiente: C:\ArchivosdePrograma\MicrosoftLearning\6822A
\Unidades\6822A-NYC-VN2_IPv6 y luego haga clic en Agregar nuevamente.

3. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.

4. En Configuración de “6822A-NYC-SVR1”, haga clic en Adaptadores de red.

5. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luego
haga clic en Aceptar.

6. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.

7. En Configuración de “6822A-NYC-CL1”, haga clic en Adaptadores de red.

8. En Adaptador de red virtual 1, haga clic en la flecha desplegable, seleccione 6822A-NYC-VN2_IPv6 y luego
haga clic en Aceptar.

Información de inicio de sesión

Para este laboratorio, debe iniciar sesión en las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-
NYC-CL1 usando la siguiente información:

Nombre de usuario: Administrador

Contraseña: Pa$$w0rd
Ejercicio 1: Configuración de una nueva red y cliente IPv6

Ejercicio 1: Configuración de una nueva red y cliente IPv6

Escenario

Debe diseñar e implementar una red IPv6. Para una prueba inicial del concepto, se debe implementar solamente un
cliente.

Descripción general del ejercicio

En este ejercicio, los estudiantes prepararán el entorno actual para trabajar con IPv6 e implementarán un cliente IPv6 y
una subred IPv6.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1.

2. Configurar el enrutamiento IPv4.

3. Habilitar el Enrutamiento IP en NYC-SVR1 y confirmar la Conectividad IPv4.

4. Deshabilitar IPv6 en NYC-DC1.

5. Deshabilitar IPv4 en NYC-CL1.

6. Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IP
IPv4.

7. Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1.

8. Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección global
IPv6 en la red 2001:db8:0:1::/64.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Configurar el enrutamiento IPv4

1. En NYC-CL1, en la ventana Conexiones de red, configure lo siguiente:

Dirección IP: 192.168.1.20

Máscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.1.10

2. En NYC-DC1, en la ventana Conexiones de red, configure lo siguiente:

Puerta de enlace predeterminada: 10.10.0.24

Tarea 3: Habilitar el Enrutamiento IP en NYC-SVR1 y confirmar la conectividad IPv4

1. En NYC-SVR1, use Editor de registro (Regedit.exe) para configurar lo siguiente:


HKEY_MAQUINA_LOCAL\SYSTEM\CurrentcontrolSet\Services\Tcpip\Performance

IPEnableRouter =1

2. Reinicie NYC-SVR1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.

3. En NYC-CL1, use el comando ping para NYC-DC1 a fin de comprobar la conectividad.

4. En NYC-DC1, use el comando ping para 192.168.1.20 a fin de comprobar la conectividad.

Nota: En este momento, sólo se enruta el tráfico IPv4 a través de la infraestructura de enrutamiento IPv4.

Tarea 4: Deshabilitar IPv6 en NYC-DC1

En NYC-DC1, en la ventana Conexiones de red, deshabilite la conectividad IPv6.

Tarea 5: Deshabilitar IPv4 en NYC-CL1

En NYC-CL1, en la ventana Conexiones de red, deshabilite la conectividad IPv4.

Tarea 6: Comprobar la configuración IP en NYC-CL1 y asegurarse de que no esté configurada con una dirección IP IPv4

Confirme que la dirección IP en NYC-CL1 es una dirección IP local del vínculo válida que comienza con fe80.

Tarea 7: Configurar un anuncio de enrutador IPv6 para la red de direcciones globales 2001:db8:0:1::/64 en NYC-SVR1

1. En NYC-SVR1, usando la línea de comandos y el comando netsh, configure Conexión de área local 2 para
reenviar paquetes y anunciar los prefijos de subred.

2. Agregue una ruta IPv6 a Conexión de área local 2 de 2001:db8:0:1::/64. Asegúrese de publicar esta ruta.

Tarea 8: Comprobar la configuración IP en NYC-CL1 para asegurarse de que esté configurada con una dirección global IPv6 en la
red 2001:db8:0:1::/64

Confirmar que NYC-CL1 se ha configurado a sí misma usando el prefijo global asignado a la red.
Ejercicio 2: Configuración de un enrutador ISATAP para habilitar las
comunicaciones entre una red IPv4 y una IPv6

Ejercicio 2: Configuración de un enrutador ISATAP para habilitar las comunicaciones entre una red
IPv4 y una IPv6

Escenario

Una vez que haya configurado el cliente IPv6, debe habilitar la conectividad del cliente IPv4 para la red IPv6. El análisis
realizado respecto de las tecnologías de tunelización IPv6 actuales lo han llevado a optar por la implementación de un
enrutador ISATAP.

Descripción general del ejercicio

En este ejercicio, habilitará y configurará una interfaz del enrutador ISATAP que permitirá comunicaciones
bidireccionales entre las redes IPv4 e IPv6.

Las principales tareas se realizarán como se detalla a continuación:

1. Agregar la entrada ISATAP en la zona DNS.

2. Configurar el enrutador ISATAP en NYC-SVR1.

3. Habilitar la interfaz ISATAP en NYC-DC1.

4. Probar la conectividad con el cliente IPv6.

Tarea 1: Agregar la entrada ISATAP a la zona DNS en NYC-DC1

En NYC-SVR1, en la zona Woodgrovebank.com, cree un nuevo registro de host denominado ISATAP y


configúrelo con la dirección IPv4 de NYC-SVR1 (10.10.0.24).

Tarea 2: Configurar el enrutador ISATAP en NYC-SVR1

1. En NYC-SVR1, usando el comando netsh, habilite el enrutador isatap establecido en 10.10.0.24.

2. Usando el comando netsh, habilite reenviar y anuncio de prefijo para la interfaz ISATAP. (Pista: Conexión
de área local * 8)

3. Usando el comando netsh, publique una nueva ruta para la subred ISATAP usando 2001:db8:0:10:/64.

4. Reinicie NYC-SVR1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.

5. Abra un símbolo del sistema y use el comando ipconfig para comprobar que el adaptador de túnel Conexión
de área local * 8 muestre una dirección IPv6 en el intervalo 2001:db8:0:10.

Tarea 3: Habilitar la interfaz ISATAP en NYC-DC1

1. En NYC-DC1, haga clic en Inicio y luego en Símbolo del sistema.

2. En el símbolo del sistema, escriba los siguientes comandos:

Netsh interface isatap set router 10.10.0.24

Ipconfig

Nota: Observe que el adaptador de túnel Conexión de área local 8 (que es el adaptador ISATAP) ha recibido una
dirección IPv6 automáticamente del enrutador ISATAP.

Tarea 4: Probar la conectividad con el cliente IPv6

Compruebe que puede rastrear NYC-DC1 desde NYC-CL1 y que puede rastrear NYC-SVR1. Finalmente,
compruebe que puede rastrear NYC-CL1 desde NYC-DC1.
Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 y
continuando por NYC-CL1.

Importante: No apague las máquinas virtuales en este momento porque las necesitará para completar el
siguiente laboratorio.
Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuáles son los diferentes tipos de direcciones IPv6 de unidifusión?

2. ¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?

3. ¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?

4. ¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?

5. ¿Cuánto afecta el ámbito de una dirección su capacidad para comunicarse en Internet?

6. ¿Cuáles son las diferentes tecnologías de tunelización en IPv6?

7. ¿Cuál es el propósito principal de un túnel Teredo?

Herramientas de línea de comandos

La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionar
problemas de TCP/IP de IPv6:

Comando Descripción

IPconfig Brinda datos de resumen para IPv4 e IPv6.

Route Brinda información básica acerca de las tablas de enrutamiento


IPv4 e IPv6.

Netsh Brinda información detallada acerca de la configuración IPv6 y es


la herramienta principal usada para configurar IPv6 en Windows
Server 2008 y Windows Vista. Se puede usar esta herramienta de
línea de comandos para configurar un enrutador IPv6.
¿Qué es la tunelización 6to4?

¿Qué es la tunelización 6to4?

Puntos clave

6to4 es una tecnología de tunelización automática de enrutador a enrutador, host a enrutador y enrutador a host y
asignación de direcciones que se puede usar para brindar conectividad IPv6 de unidifusión entre hosts y sitios IPv6 a
través de Internet IPv4. 6to4 trata a Internet IPv4 en su totalidad como un vínculo único.

Funcionalidad del enrutador 6to4

Un enrutador 6to4:

Habilita el reenvío de IPv6 en la tunelización 6to4 y las interfaces privadas.

Determina que un prefijo de subred IPv6 de 64 bits se anuncie en la intranet privada.

Envía mensajes de anuncio de enrutador en la interfaz privada.

Cómo funciona la tunelización 6to4

Dentro de un sitio, los enrutadores IPv6 locales anuncian los prefijos de subred 2002:WWXX:YYZZ:Subred_ID::/64 a
fin de que los hosts configuren automáticamente las direcciones 6to4. Los enrutadores IPv6 dentro del sitio envían
tráfico entre hosts 6to4. Los hosts en las subredes individuales se configuran de manera automática con una ruta de
subred de 64 bits para la entrega directa a los vecinos y una ruta predeterminada con la dirección de próximo salto del
enrutador de divulgación. El tráfico IPv6 que no coincide con ninguno de los prefijos de subred que usa el sitio se
reenvía a un enrutador 6to4 en el borde de sitio. El enrutador 6to4 en el borde de sitio cuenta con una ruta 2002::/16
que reenvía tráfico a otros sitios 6to4 y una ruta predeterminada (::/0) que reenvía tráfico a una retransmisión 6to4.

Material de lectura adicional

RFC 3056: Connection of IPv6 Domains via IPv4 Clouds (Conexión de los dominios IPv6 a través de nubes
IPv4)
¿Qué es la tunelización con Teredo?

¿Qué es la tunelización con Teredo?

Puntos clave

La tunelización con Teredo le permite enviar por túnel a través de la red IPv4 cuando los clientes están detrás de una
NAT IPv4. Teredo fue creado porque muchos enrutadores IPv4 usan NAT para definir un espacio de direcciones
privadas para las redes corporativas.

Componentes de Teredo

Los componentes de Teredo son:

Cliente Teredo

Servidor Teredo

Retransmisión Teredo

Retransmisión específica del host Teredo

Cómo funciona Teredo

Para dos clientes Teredo basados en Windows, los procesos más importantes de Teredo son aquellos que se usan
para la configuración inicial y la comunicación con otro sistema del mismo nivel del sitio:

Configuración inicial

Cliente Teredo:

Resuelve el nombre teredo.ipv6.microsoft.com para los servidores Teredo

Envía varias Solicitudes de enrutador con encapsulado Teredo a servidores Teredo múltiples

En base a las respuestas, el cliente Teredo determinará:

La dirección IPv4 del servidor Teredo

Tipo de NAT

Puerto y dirección asignados externamente para tráfico Teredo

Comunicación inicial entre dos clientes Teredo en sitios diferentes

El conjunto de paquetes enviado durante la comunicación inicial entre los clientes Teredo ubicados en sitios diferentes
depende de si los clientes Teredo se encuentran ubicados detrás de las NAT cono o restringidas.

Teredo: NAT restringida

El siguiente proceso permite enviar un paquete de comunicación inicial desde el Cliente Teredo A a un Cliente Teredo
B:

1. El Cliente Teredo A envía un paquete de burbuja directamente al Cliente Teredo B.

2. El Cliente Teredo A envía un paquete de burbuja al Cliente Teredo B mediante el Servidor Teredo 2 (el servidor
Teredo del Cliente Teredo B).

3. El Servidor Teredo 2 reenvía el paquete de burbuja al Cliente Teredo B.

4. El Cliente Teredo B responde al paquete de burbuja recibido desde el Cliente Teredo A con su propio paquete
de burbuja, que se envía directamente al Cliente Teredo A.

5. Una vez que el Cliente Teredo B recibió el paquete de burbuja, el Cliente Teredo A determina si existen
asignaciones NAT específicas de origen para ambas NAT.
¿Qué es PortProxy?

¿Qué es PortProxy?

Puntos clave

Es posible usar el servicio PortProxy como una puerta de enlace de nivel de aplicación para los nodos o las
aplicaciones que no son compatibles con IPv6. PortProxy facilita la comunicación entre los nodos o las aplicaciones
que no pueden conectarse usando un tipo de dirección, un protocolo de nivel de Internet (IPv4 o IPv6) y un puerto
TCP comunes. El objetivo principal de este servicio es permitir que los nodos IPv6 se comuniquen con las
aplicaciones TCP de IPv4.
Lección 4: Transición de IPv4 a IPv6
Lección 4:

Transición de IPv4 a IPv6

Se espera que la transición de IPv4 a IPv6 demore varios años. IPv4 continúa siendo el estándar de IP para la mayoría
de las aplicaciones y los servicios de Internet que se usan en la actualidad. Sin embargo, es posible que cada vez más
redes y aplicaciones funcionen correctamente en un entorno IPv6 exclusivo, debido a que Windows Vista y Windows
Server 2008 están siendo adoptados más ampliamente. En esta lección, aprenderá acerca de los problemas que
debe considerar al hacer la transición a IPv6 y repasará los pasos necesarios para hacer la transición a una instalación
sólo IPv6.
Discusión: Observaciones para migrar de IPv4 a IPv6

Discusión: Observaciones para migrar de IPv4 a IPv6

Puntos clave

Responder las preguntas en un debate en clase.


Proceso para la transición a IPv6

Proceso para la transición a IPv6

Puntos clave

Se espera que la migración de IPv4 a IPv6 demore una cantidad de tiempo considerable. Esto fue tomado en cuenta
al diseñar IPv6 y como consecuencia, el plan de transición para IPv6 es un proceso de varios pasos que permite una
coexistencia extendida.

Para lograr el objetivo de tener un entorno IPv6 puro, siga las siguientes instrucciones generales:

Actualizar las aplicaciones para que no dependan de IPv6 o IPv4.

Actualizar la infraestructura DNS para que sea compatible con la dirección IPv6 y los registros PTR.

Actualizar hosts a nodos IPv6/IPv4.

Actualizar la infraestructura de enrutamiento para enrutamiento IPv6 nativo.

Convertir nodos IPv6/IPv4 a nodos sólo IPv6.


Lección 5: Solución de problemas de IPv6
Lección 5:

Solución de problemas de IPv6

Esta lección describe las herramientas y técnicas que puede usar para identificar un problema en los niveles
consecutivos de las pilas de protocolo TCP/IP usando un nivel de Internet IPv6.
Métodos usados para solucionar problemas de IPv6

Métodos usados para solucionar problemas de IPv6

Puntos clave

Para solucionar problemas de IPv6, según el tipo de inconveniente, se puede:

Comenzar en la parte inferior de la pila e ir hacia arriba.

Comenzar en la parte superior de la pila e ir hacia abajo.

Cuando se comienza en la parte superior de la pila, los métodos usados para solucionar problemas de IPv6 pueden
incluir:

Comprobar la conectividad IPv6.

Comprobar la resolución de nombres DNS para las direcciones IPv6.

Comprobar las sesiones TCP basadas en IPv6.

Material de lectura adicional

TCP/IP Fundamentals for Microsoft Windows (Fundamentos de TCP/IP para Microsoft Windows): Chapter 16 –
Troubleshooting TCP/IP (Capítulo 16: solución de problemas de TCP/IP)
Comprobación de la conectividad IPv6

Comprobación de la conectividad IPv6

Puntos clave

Puede usar las siguientes tareas para solucionar los problemas con la conectividad IPv6:

Comprobar la configuración

Comprobar la accesibilidad

Comprobar el filtrado de paquetes

Ver y administrar la tabla de enrutamiento IPv6

Comprobar la confiabilidad del enrutador


Comprobación de la resolución de nombres DNS para las direcciones IPv6

Comprobación de la resolución de nombres DNS para las direcciones IPv6

Puntos clave

Al comprobar la conectividad de los servicios de red, se usan varias de las mismas herramientas y software que con
IPv4. Al comprobar la configuración y la resolución de nombres DNS, puede comprobar la configuración DNS usando
las siguientes herramientas:

Ipconfig/todo

Ipconfig/mostrardns y Ipconfig/vaciardns

Ping

Nsbuscar
Comprobación de las conexiones TCP basadas en IPv6

Comprobación de las conexiones TCP basadas en IPv6

Puntos clave

Para comprobar las conexiones TCP basadas en IPv6:

Compruebe si existe el filtrado de paquetes.

Compruebe el establecimiento de conexiones TCP (Telnet).


Laboratorio B: Conversión de red

Laboratorio B: Conversión de red

Objetivo

Realizar una transición de red a una red sólo IPv6.

Escenario

Tiene la responsabilidad de probar el plan de transición IPv6. Para lograrlo, se realizará la transición de equipos de la
red anterior que usa IPv4 e IPv6 a una red sólo IPv6.
Ejercicio 1: Transición a una red sólo IPv6

Ejercicio 1: Transición a una red sólo IPv6

Descripción general del ejercicio

En este ejercicio, se migrará la red IPv4 para que sea completamente compatible con IPv6.

Las principales tareas se realizarán como se detalla a continuación:

1. Deshabilitar el enrutador ISATAP en NYC-SVR1.

2. Configurar el enrutador IPv6 nativo en NYC-SVR1.

3. Deshabilitar la conectividad IPv4.

4. Probar la conectividad entre cada subred IPv6.

Tarea 1: Deshabilitar el enrutador ISATAP en NYC-SVR1

En NYC-SVR1, deshabilite el enrutador ISATAP y elimine el prefijo de subred de ruta estática que se definió
anteriormente para la subred ISATAP.

Tarea 2: Configurar el enrutador IPv6 nativo en NYC-SVR1

Configure un enrutador IPv6 en la interfaz Conexión de área local en NYC-SVR1. Asegúrese de que el reenvío
y anuncio de prefijo estén habilitados. Además, agregue y publique el prefijo de subred: 2001:db8:0:0::/64.

Tarea 3: Deshabilitar la conectividad IPv4

1. En NYC-SVR1, deshabilite todas las interfaces IPv4 restantes.

2. En NYC-DC1, habilite la interfaz IPv6 y luego deshabilite la interfaz IPv4.

Tarea 4: Probar la conectividad entre cada subred IPv6

Asegúrese de que se puede rastrear entre NYC-DC1 y NYC-CL1. Además, asegúrese de que NYC-SVR1 sea
capaz de rastrear ambos servidores.

Nota: Si las direcciones IP no se resuelven, reinicie los servidores comenzando por NYC-DC1, NYC-SVR1 y
continuando por NYC-CL1.

Tarea 5: Reconfigurar los adaptadores de red

Para contar con la instalación adecuada para futuros laboratorios, debe configurar lo siguiente antes de iniciar las
máquinas virtuales:

1. En la máquina host, abra el Sitio web de administración de Virtual Server.

2. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-SVR1.

3. En Configuración de “6822A-NYC-SVR1”, haga clic en Adaptadores de red.

4. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clic
en Aceptar.

5. En el panel izquierdo, en Máquinas virtuales, elija Configurar y luego haga clic en 6822A-NYC-CL1.

6. En Configuración de “6822A-NYC-CL1”, haga clic en Adaptadores de red.

7. En Adaptador de red virtual 2, haga clic en la flecha desplegable, seleccione Red interna y luego haga clic
en Aceptar.

Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar equipo y descartar cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuáles son los diferentes tipos de direcciones IPv6 de unidifusión?

2. ¿Cuáles son las razones principales por lo que IPv6 resulta necesaria?

3. ¿Cómo se denomina el proceso en el que un cliente se configura a sí mismo con una dirección IPv6?

4. ¿Qué tipo de dirección IP se asignan a sí mismos cada uno de los clientes IPv6 automáticamente?

5. ¿Cuánto afecta el ámbito de una dirección su capacidad para comunicarse en Internet?

6. ¿Cuáles son las diferentes tecnologías de tunelización en IPv6?

7. ¿Cuál es el propósito principal de un túnel Teredo?

Herramientas de línea de comandos

La siguiente tabla describe las herramientas de línea de comandos que pueden usarse para configurar y solucionar
problemas de TCP/IP de IPv6:

Comando Descripción

IPconfig Brinda datos de resumen para IPv4 e IPv6.

Route Brinda información básica acerca de las tablas de enrutamiento


IPv4 e IPv6.

Netsh Brinda información detallada acerca de la configuración IPv6 y es


la herramienta principal usada para configurar IPv6 en Windows
Server 2008 y Windows Vista. Se puede usar esta herramienta de
línea de comandos para configurar un enrutador IPv6.
Módulo 6: Configuración y solución de problemas de Enrutamiento y
acceso remoto
Módulo 6

Configuración y solución de problemas de Enrutamiento y acceso


remoto
Este módulo explica cómo configurar y solucionar problemas de Enrutamiento y acceso remoto en Windows Server®
2008.

Lección 1: Configuración del acceso a redes


Lección 2: Configuración del acceso a VPN
Lección 3: Descripción general de directivas de red
Lección 4: Descripción general del Kit de administración de Connection Manager
Lección 5: Solución de preoblemas de Enrutamiento y acceso remoto
Laboratorio: Configuración y administración de acceso a redes
Lección 1: Configuración del acceso a redes
Lección 1:

Configuración del acceso a redes

Windows Server 2008 incluye Directiva de red y Servicios de acceso, que brinda soluciones para escenarios con
problemas de conectividad, como por ejemplo:

Protección de acceso a redes (NAP). Con NAP, los administradores del sistema pueden establecer y aplicar
automáticamente directivas de mantenimiento que incluyen requisitos de software, requisitos de actualizaciones
de seguridad, configuraciones requeridas del equipo y otros valores.

Soluciones inalámbricas y alámbricas seguras basadas en el método de cumplimiento 802.1X.

Soluciones de acceso remoto, que incluyen red privada virtual (VPN), acceso telefónico tradicional y
enrutadores de software completos.

Administración central de directivas de red con el servidor y el proxy Servicio de autenticación remota telefónica
de usuario (RADIUS).
Componentes de una infraestructura de Servicios de acceso a redes

Componentes de una infraestructura de Servicios de acceso a redes

Puntos clave

Por lo general, la infraestructura subyacente en un Servicio de acceso a redes completo en Windows Server 2008
incluye los siguientes componentes:

Servidor VPN

Servicios de directorio de Active Directory®

Servidor de Protocolo de configuración dinámica de host (DHCP)

Servidor de directivas de mantenimiento NAP

Autoridad de registro de mantenimiento

Servidores de actualizaciones

Material de lectura adicional

Tema de Ayuda: Acceso remoto


¿Qué es la función Directiva de red y Servicios de acceso?

¿Qué es la función Directiva de red y Servicios de acceso?

Puntos clave

La función Directiva de red y Servicios de acceso en Windows Server 2008 brinda las siguientes soluciones de
conectividad de red:

NAP

Acceso inalámbrico y alámbrico seguro

Soluciones de acceso remoto

Administración central de directivas de red con el servidor y el proxy RADIUS

Material de lectura adicional

Biblioteca técnica de Windows Server 2008


¿Qué es Enrutamiento y acceso remoto?

¿Qué es Enrutamiento y acceso remoto?

Puntos clave

Con Enrutamiento y acceso remoto se pueden implementar servicios de VPN y acceso remoto telefónico y servicios
multiprotocolo de enrutamiento de LAN a LAN, de LAN a red de área extensa (WAN), de VPN y de traducción de
direcciones de red (NAT).

Se pueden implementar las siguientes tecnologías durante la instalación de la función de servicio Enrutamiento y
acceso remoto:

Servicio de acceso remoto

Enrutamiento

Material de lectura adicional

Biblioteca técnica de Windows Server 2008

Ayuda para el servicio Enrutamiento y acceso remoto


Demostración: Cómo instalar Servicios de enrutamiento y acceso remoto

Demostración: Cómo instalar Servicios de enrutamiento y acceso remoto


Autenticación y autorización de red

Autenticación y autorización de red

Puntos clave

La distinción entre autenticación y autorización es importante para comprender por qué los intentos de conexión son
aceptados o denegados:

La autenticación es la comprobación de las credenciales de los intentos de conexión. Este proceso consiste
en enviar las credenciales desde el cliente de acceso remoto al servidor de acceso remoto ya sea como texto
simple o como texto cifrado usando un protocolo de autenticación.

La autorización es la comprobación de que el intento de conexión está permitido. La autorización se produce


luego de una autenticación correcta.

Material de lectura adicional

Autenticación frente a autorización

Introducción a las directivas de acceso remoto


Tipos de métodos de autenticación

Tipos de métodos de autenticación

Puntos clave

La autenticación de los clientes de acceso es un tema de seguridad importante. Por lo general, los métodos de
autenticación usan un protocolo de autenticación que se negocia durante el proceso de establecimiento de la
conexión. Estos protocolos incluyen:

PAP

CHAP

MSCHAPv2

EAP

PEAP

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: Autenticación

Ayuda para el Servicio de enrutamiento y acceso remoto: Solucionar problemas de acceso remoto

Métodos de autenticación para usar con IAS


Integración de servidores DHCP con el servicio Enrutamiento y acceso
remoto

Integración de servidores DHCP con el servicio Enrutamiento y acceso remoto

Puntos clave

Se puede implementar el servicio Servidor DHCP con el servicio Enrutamiento y acceso remoto para brindar a los
clientes de acceso remoto una dirección IP asignada dinámicamente durante la conexión. Cuando se usan estos
servicios de manera conjunta en el mismo servidor, la información ofrecida durante la configuración dinámica se brinda
de una manera diferente que la configuración DHCP típica para clientes basados en LAN.

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: Uso de servidores de Enrutamiento y acceso remoto
con DHCP
Lección 2: Configuración del acceso a VPN
Lección 2:

Configuración del acceso a VPN

Las VPN son conexiones punto a punto a través de una red privada o pública como Internet. Un cliente VPN usa
protocolos especiales basados en TCP/IP, denominados protocolos de túnel, para realizar una llamada virtual al puerto
virtual de un servidor VPN.

En una implementación típica de VPN, un cliente inicia una conexión virtual punto a punto con un servidor de acceso a
través de Internet. El servidor de acceso remoto responde la llamada, autentica al autor de la llamada y transfiere datos
entre el cliente VPN y la red privada de la organización.
¿Qué es una conexión VPN?

¿Qué es una conexión VPN?

Puntos clave

Para emular un vínculo punto a punto, los datos se encapsulan o se ajustan con un encabezado. El encabezado brinda
la información de enrutamiento que permite que los datos atraviesen la red pública o compartida para llegar a su
extremo. Para emular un vínculo privado, los datos se cifran por razones de confidencialidad. Los paquetes que son
interceptados en la red pública o compartida son indescifrables sin claves de cifrado. El vínculo en el que se
encapsulan o cifran los datos privados se conoce como una conexión VPN.

Existen dos tipos de conexiones VPN:

VPN de acceso remoto

VPN de sitio a sitio


Componentes de una conexión VPN

Componentes de una conexión VPN

Puntos clave

Una VPN incluye los siguientes componentes:

Cliente VPN

Servidor VPN

Túnel de VPN

Datos de túnel

Conexión entre redes en tránsito

Material de lectura adicional

Redes privadas virtuales


Protocolos de túnel para una conexión VPN

Protocolos de túnel para una conexión VPN

Puntos clave

La tunelización permite la encapsulación de un paquete a partir de un tipo de protocolo dentro del datagrama de un
protocolo diferente. Por ejemplo, VPN usa PPTP para encapsular paquetes IP a través de una red pública como
Internet. También se puede configurar una solución VPN basada en PPTP, L2TP o SSTP.

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: Protocolos de túnel VPN


Requisitos de configuración

Requisitos de configuración

Puntos clave

Antes de configurar un servidor VPN de acceso remoto debe:

Determinar qué interfaz de red se conecta a Internet y qué interfaz de red se conecta a su red privada.

Determinar si los clientes remotos recibirán direcciones IP de un servidor de Protocolo de configuración


dinámica de host (DHCP) en su red privada o desde un servidor VPN de acceso remoto que está configurando.

Determinar si desea que las solicitudes de conexión de los clientes de VPN sean autenticadas por un servidor
Servicio de autenticación remota telefónica de usuario (RADIUS) o por el servidor VPN de acceso remoto que
está configurando.

Determinar si los clientes VPN pueden enviar mensajes DHCP al servidor DHCP en su red privada.

Comprobar que todos los usuarios tengan cuentas de usuario configuradas para el acceso telefónico.

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto
Demostración: Configuración del acceso a VPN

Demostración: Configuración del acceso a VPN


Realización de tareas adicionales

Realización de tareas adicionales

Puntos clave

Luego de completar los pasos del Asistente para agregar funciones y la configuración de Enrutamiento y acceso
remoto, su servidor estará listo para usarse como servidor VPN de acceso remoto.

Las tareas adicionales que puede realizar en su servidor de acceso remoto/VPN incluyen:

Configurar filtros de paquetes estáticos

Configurar servicios y puertos

Ajustar niveles de registro para protocolos de enrutamiento

Configurar el número de puertos VPN

Crear un perfil de Administrador de la conexión para usuarios

Agregar Servicios de certificados de Active Directory (AD CS)

Aumentar la seguridad de acceso remoto

Aumentar la seguridad VPN

Material de lectura adicional

Directiva de red y Servicios de acceso

Ayuda para el Servicio de enrutamiento y acceso remoto: Configurar un servidor VPN de acceso remoto
Componentes de una conexión de acceso telefónico

Componentes de una conexión de acceso telefónico

Puntos clave

El acceso telefónico remoto es una tecnología de acceso remoto que se encuentra disponible como parte del servicio
Enrutamiento y acceso remoto que incluye Windows Server 2008.

A través del acceso telefónico remoto, un cliente de acceso remoto usa la infraestructura de telecomunicaciones para
crear un circuito físico temporal o un circuito virtual para un puerto en un servidor de acceso remoto. Una vez creado el
circuito físico o virtual, se puede negociar el resto de los parámetros de conexión.

La conexión física o lógica entre el servidor de acceso remoto y el cliente de acceso remoto se simplifica por medio
de la instalación del equipo de acceso telefónico en el cliente de acceso remoto, el servidor de acceso remoto y la
infraestructura WAN.

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: ¿Qué es el acceso telefónico a redes?
Lección 3: Descripción general de directivas de red

Lección 3:

Descripción general de directivas de red

Cuando se procesan solicitudes de conexión como un servidor RADIUS, NPS realiza tanto la autenticación como la
autorización de la solicitud de conexión. NPS comprueba la identidad del usuario o equipo que se conecta a la red
durante el proceso de autenticación. NPS determina si el usuario o equipo tiene permitido el acceso a la red durante el
proceso de autorización.

Para tomar esta decisión, NPS usa las directivas de red que se configuran en el complemento Microsoft Management
Console (MMC) NPS. Para realizar la autorización, NPS también examina las propiedades de marcado de la cuenta de
usuario en Active Directory.

Nota: En el Servicio de autenticación de Internet (IAS) de la familia de sistemas operativos Windows Server 2003, las
directivas de red se denominaban directivas de acceso remoto.
¿Qué es una Directiva de red?

¿Qué es una Directiva de red?

Puntos clave

Las directivas de red son un conjunto de condiciones, restricciones y valores que permiten designar quiénes están
autorizados para conectarse a la red y las circunstancias en que pueden o no conectarse. Cuando se implementa NAP,
la directiva de mantenimiento se agrega a la configuración de directivas de red para que NPS realice comprobaciones
de mantenimiento de cliente durante el proceso de autorización.

Cada directiva de red cuenta con cuatro categorías de propiedades:

Generales

Condiciones

Restricciones

Configuración

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Propiedades de Directiva de red


Proceso de creación y configuración de una directiva de red

Proceso de creación y configuración de una directiva de red

Puntos clave

NPS usa directivas de red, anteriormente denominadas directivas de acceso remoto, y las propiedades de marcado de
cuentas de usuario para determinar si se debe autorizar una solicitud de conexión a la red. Se puede configurar una
nueva directiva de red en el complemento MMC NPS o bien en el complemento MMC del servicio Enrutamiento y
acceso remoto.

Para agregar una nueva directiva de red usando la interfaz de Windows:

1. Abra la consola NPS y luego haga doble clic en Directivas.

2. En el árbol de consola, haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva. Se
abrirá el Asistente para nueva directiva de red.

3. Use el Asistente para nueva directiva de red para crear una directiva.

4. Configure las propiedades de Directiva de red.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Directivas de red

Ayuda para Servidor de directivas de redes: Agregar una Directiva de red


¿Cómo se procesan las directivas de red?

¿Cómo se procesan las directivas de red?

Puntos clave

Cuando NPS realiza la autorización de una solicitud de conexión, compara la solicitud con cada directiva de red de la
lista ordenada de directivas, comenzando con la primera directiva y continuando con las siguientes.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Agregar una Directiva de red


Lección 4: Descripción general del Kit de administración de Connection
Manager
Lección 4:

Descripción general del Kit de administración de Connection Manager

El Kit de administración del administrador de la conexión (CMAK) permite a los administradores personalizar las
opciones de conexión remota de los usuarios mediante la creación de conexiones predefinidas con servidores y redes
remotos. El Asistente para CMAK crea un archivo ejecutable que puede distribuirse de diferentes maneras o incluirse
en las actividades de implementación como parte de la imagen del sistema operativo.
¿Qué es el Kit de administración de Connection Manager?

¿Qué es el Kit de administración de Connection Manager?

Puntos clave

CMAK es una herramienta que puede usarse para personalizar la experiencia de conexión remota para los usuarios de
su red mediante la creación de conexiones predefinidas con servidores y redes remotos. Use el Asistente para CMAK
para crear y personalizar una conexión para los usuarios.

Material de lectura adicional

Ayuda para CMAK: Bienvenido al Kit de administración de Connection Manager


Demostración: Instalación de CMAK

Demostración: Instalación de CMAK


Proceso de configuración de un perfil de conexión

Proceso de configuración de un perfil de conexión

Puntos clave

Se puede configurar un perfil de conexión nuevo o existente usando el Asistente para CMAK. Cada página del
asistente le permite completar otro paso del proceso.

Nota: Para obtener información completa acerca de la creación de un perfil de conexión, consulte CMAK Operations
Guide.

Material de lectura adicional

Guía Operativa de CMAK

Ayuda para el Kit de administración del administrador de la conexión: Ejecutar Asistente para CMAK para crear
un perfil de conexión
Demostración: Creación de un perfil de conexión

Demostración: Creación de un perfil de conexión


Distribución del perfil de conexión a usuarios

Distribución del perfil de conexión a usuarios

Puntos clave

El asistente para CMAK compila el perfil de conexión en un único archivo ejecutable con la extensión de nombre de
archivo .exe. Este archivo se puede entregar a los usuarios a través de cualquiera de los métodos que tenga a
disposición. Algunos métodos para tener en cuenta son:

Incluir el perfil de conexión como parte de la imagen incluida con los nuevos equipos.

Entregar el perfil de conexión en medios extraíbles para que el usuario lo instale manualmente.
Lección 5: Solución de preoblemas de Enrutamiento y acceso remoto
Lección 5:

Solución de problemas de Enrutamiento y acceso remoto

La solución de problemas del servicio Enrutamiento y acceso remoto puede ser una tarea que requiere mucho tiempo.
Es posible que los problemas sean diversos y difíciles de identificar. Debido a que quizá esté usando redes de
acceso telefónico, dedicadas, arrendadas o públicas para cumplir con la solución de conectividad remota, debe
solucionar los problemas mediante un proceso metódico, paso a paso.
Herramientas de solución de problemas de TCP/IP

Herramientas de solución de problemas de TCP/IP

Puntos clave

Windows Server 2008 incluye herramientas básicas y avanzadas de diagnóstico de TCP/IP que pueden usarse para
solucionar problemas de TCP/IP.

Las herramientas básicas de diagnóstico de TCP/IP incluyen:

Diagnóstico de red en Ayuda y Soporte

Carpeta Conexiones de red

Comando Ipconfig

Comando Ping

Las herramientas avanzadas de diagnóstico de TCP/IP incluyen:

Comando NombredelHost

Comando Nbtstat

Comando RutaPing

Comando Ruta

Comando Tracert

Material de lectura adicional

Cómo solucionar problemas de conectividad TCP/IP con Windows XP


Autenticación y registro de cuentas

Autenticación y registro de cuentas

Puntos clave

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas. Puede usar este procedimiento para configurar los archivos de registro en los
que desea almacenar los datos contables.

Material de lectura adicional

Tema de Ayuda: Configurar propiedades del archivo de registro


Configuración de registro de acceso remoto

Configuración de registro de acceso remoto

Puntos clave

Para configurar el registro de acceso remoto, abra la consola de servicio Enrutamiento y acceso remoto, haga clic con
el botón secundario en nombre de servidor y luego haga clic en Propiedades. Haga clic en la ficha Registro para
ver las opciones disponibles y la ubicación del registro de seguimiento.

Los cuatro niveles de registro de eventos que el servicio Enrutamiento y acceso remoto de Windows Server 2008
pone a disposición son:

Registrar únicamente errores

Registrar errores y advertencias

Registrar todos los eventos

No registrar ningún evento

Material de lectura adicional

Ayuda para el Servicio de enrutamiento y acceso remoto: Propiedades del servidor: Ficha Registro
Configuración de seguimiento de acceso remoto

Configuración de seguimiento de acceso remoto

Puntos clave

El servicio Enrutamiento y acceso remoto en Windows Server 2008 tiene una amplia capacidad de seguimiento que
puede usarse para solucionar problemas de red complejos. Es posible habilitar los componentes en Windows Server
2008 para registrar la información de seguimiento en archivos usando el comando Netsh o a través del Registro.

Material de lectura adicional

Tema de Ayuda: Herramientas de solución de problemas de VPN


Solución de problemas frecuentes

Solución de problemas frecuentes

Puntos clave

Los problemas frecuentes que pueden surgir al usar Acceso remoto de Windows Server 2008 incluyen:

Error 800: El servidor VPN es inaccesible

Error 721: El equipo remoto no responde

Error 741/742: Error de no coincidencia de cifrado

No se puede establecer una conexión VPN de acceso remoto

Problemas de autenticación de L2TP/IPsec

Problemas de autenticación de EAP-TLS

Se aceptó el intento de conexión cuando debería haberse rechazado

Los clientes VPN no pueden obtener acceso a los recursos más allá del servidor VPN

No se puede establecer un túnel

Material de lectura adicional

Tema de Ayuda: Solucionar problemas de acceso remoto


Laboratorio: Configuración y administración de acceso a redes

Laboratorio: Configuración y administración de acceso a redes

Objetivos

Al finalizar este laboratorio, podrá:

Configurar el servicio Enrutamiento y acceso remoto como una solución de acceso remoto de VPN.

Configurar una Directiva de red personalizada.

Configurar registros.

Configurar un perfil de conexión.

Escenario

Woodgrove Bank desea implementar una solución de acceso remoto para sus empleados a fin de que puedan
conectarse a la red corporativa mientras están fuera de la oficina. Woodgrove Bank requiere una directiva de red que
exija que las conexiones VPN estén cifradas por razones de seguridad.

El departamento de TI de Woodgrove Bank no desea que la solución de acceso remoto cause un aumento drástico de
las llamadas de soporte al Departamento de soporte técnico por problemas de configuración respecto de los objetos
de conexión VPN que deban crearse
Ejercicio 1: Configuración de Enrutamiento y acceso remoto como una
solución de acceso remoto de VPN

Ejercicio 1: Configuración de Enrutamiento y acceso remoto como una solución de acceso remoto
de VPN

Descripción general del ejercicio

En este ejercicio, configurará la función de servicio Enrutamiento y acceso remoto como una solución de acceso
remoto de VPN. El servidor VPN debe usar la asignación de direcciones IP para los clientes desde un grupo de
direcciones IP estático configurado en el servidor de acceso remoto. El servidor de acceso remoto sólo debería
aceptar conexiones PPTP y L2TP, con 25 conexiones permitidas para cada una.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1.

2. Instalar la función Directivas de red y Servicios de acceso.

3. Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de
acceso remoto.

4. Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir
25 conexiones PPTP y 25 conexiones L2TP.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Instalar la función Directivas de red y Servicios de acceso en 6822A-NYC-SVR1

1. Abra Administrador del servidor en NYC-SVR1 y haga clic en Agregar funciones.

2. En Administrador del servidor, en la página Funciones del servidor desplácese hacia abajo, seleccione
Directivas de red y Servicios de acceso y luego haga clic en Siguiente.

3. En la página Seleccionar funciones del servidor, seleccione Directivas de red y servicios de acceso y,
luego, haga clic en Siguiente.

4. En la página Confirmar selecciones de instalación, haga clic en Instalar.

5. En la página Resultados de instalación, compruebe que aparezca La instalación se completó en el panel


de detalles y luego haga clic en Cerrar.

Las funciones Directiva de red y Servicios de enrutamiento y acceso remoto se instalan en 6822A-NYC-SVR1.

Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remoto

1. En Herramientas administrativas, abra Enrutamiento y acceso remoto.

2. En el panel de la lista, seleccione y haga clic con el botón secundario en NYC-SVR1 (Local) y luego haga clic
en Configurar y habilitar enrutamiento y acceso remoto.

3. Asegúrese de que esté seleccionada la configuración predeterminada, Acceso remoto (acceso telefónico o
VPN) y, luego, en la página Acceso remoto seleccione la opción VPN.

4. En la página Conexión VPN, seleccione la interfaz Conexión de área local 2.

5. En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado.

6. Use el intervalo 192.168.1.100 con 75 direcciones disponibles para el grupo estático.

7. Acepte la configuración predeterminada durante el resto del proceso de configuración.

Tarea 4: Configurar los puertos VPN disponibles en el servidor de servicio Enrutamiento y acceso remoto para permitir 25
conexiones PPTP y 25 conexiones L2TP

1. En la interfaz de la herramienta administrativa Enrutamiento y acceso remoto, haga clic con el botón
secundario en Puertos y luego haga clic en Propiedades.

2. En el cuadro de diálogo Propiedades de puertos, configure L2TP y PPTP para que tengan 25 conectores
disponibles. Especifique 0 para SSTP.

3. En el cuadro de diálogo Propiedades de puertos, haga clic en Aceptar.

4. Cierre la herramienta administrativa Enrutamiento y acceso remoto.


Ejercicio 2: Configuración de una Directiva de red personalizada

Ejercicio 2: Configuración de una Directiva de red personalizada

Descripción general del ejercicio

En este ejercicio, creará una directiva de red para permitir conexiones seguras al servidor de servicio Enrutamiento y
acceso remoto.

Las principales tareas se realizarán como se detalla a continuación:

1. Abrir la herramienta administrativa Servidor de directivas de redes en 6822A-NYC-SVR1.

2. Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto.

Tarea 1: Abrir la herramienta de administración Servidor de directivas de redes en 6822A-NYC-SVR1

En el menú Herramientas administrativas, haga clic en Servidor de directivas de red.

Aparecerá la herramienta administrativa Servidor de directivas de redes.

Tarea 2: Crear una nueva directiva de red para los clientes del servicio Enrutamiento y acceso remoto

1. En el panel de la lista de la herramienta administrativa Servidor de directivas de redes, expanda Directivas,


haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva.

2. En Asistente de nuevas directivas de red, especifique la siguiente configuración y acepte los valores
predeterminados para el resto de la configuración:

Nombre de directivas de red: VPN segura

Tipo de servidor de acceso a la red: Servidor de acceso remoto (VPN-Acceso telefónico)

Especificar condiciones: Tipo de túnel: PPTP y L2TP

Configurar métodos de autenticación: Desactivar MS-CHAP

Configurar restricciones: Día y hora: Denegar acceso de Lunes a viernes de 11PM a 6AM

Establecer la configuración: En Cifrado, desactive todos los valores excepto Cifrado más fuerte

3. Cerrar la herramienta administrativa Servidor de directivas de redes.


Ejercicio 3: Configuración del registro

Ejercicio 3: Configuración del registro

Descripción general del ejercicio

En este ejercicio, habilitará el registro en Enrutamiento y acceso remoto.

Las principales tareas se realizarán como se detalla a continuación:

1. Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registre
todos los eventos en el Registro del sistema.

2. Probar los niveles de registro.

Tarea 1: Configurar el registro del Servicio de enrutamiento y acceso remoto en 6822A-NYC-SVR1 para que registre todos los
eventos en el Registro del sistema

1. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Enrutamiento y acceso
remoto.

2. Haga clic con el botón secundario en NYC-SVR1 y luego haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades de NYC-SVR1 (local), haga clic en la ficha Registros, luego en
Registrar todos los eventos y finalmente en Aceptar.

Tarea 2: Probar los niveles de registro

1. Inicie sesión en NYC-CL1 con el nombre de usuario Administrador y la contraseña Pa$$w0rd.

2. Haga clic en Iniciar, luego en Red y en la ventana Red, haga clic en Centro de redes y recursos
compartidos.

3. En Tareas, haga clic en Configurar una conexión o red para crear un nuevo objeto de conexión VPN.

4. En el cuadro de diálogo Escribir la dirección de Internet a la que desea conectarse, especifique que la
dirección de Internet sea 10.10.0.24 y un nombre de destino VPN.

5. Acepte la configuración predeterminada durante el resto de la configuración del asistente.

6. Una vez creado el objeto de conexión VPN, conéctese a VPN Woodgrovebank desde la página Conexiones
de red.

7. Use la siguiente información en los cuadros de texto Conectarse a VPN Woodgrovebank:

Nombre de usuario: Administrador

Contraseña: Pa$$w0rd

Dominio: Woodgrovebank

La VPN se conectará correctamente.

8. Haga clic con el botón secundario en VPN Woodgrovebank y luego haga clic en Desconectar. La VPN se
desconectará.

9. En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Visor de
eventos.

10. Use Visor de eventos en NYC-SVR1 y revise las entradas de origen Acceso remoto en Registro del sistema
para visualizar los datos registrados.

11. Cierre Visor de eventos.


Ejercicio 4: Configuración de un perfil de conexión

Ejercicio 4: Configuración de un perfil de conexión

Descripción general del ejercicio

En este ejercicio, configurará un perfil de conexión usando la herramienta CMAK para crear objetos de conexión para
los usuarios de equipos portátiles.

Las principales tareas se realizarán como se detalla a continuación: 36

1. Instalar el Kit de administración del administrador de la conexión.

2. Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexión
para los usuarios.

3. Instalar y probar el perfil CMAK.

4. Apagar todas las máquinas virtuales y descartar los cambios.

Tarea 1: Instalar el Kit de administración del administrador de la conexión

1. En NYC-SVR1, haga clic en Inicio y luego haga clic en Administrador del servidor.

2. Seleccione la característica Kit de administración del administrador de la conexión y luego haga clic en
Instalar.

3. Cierre Administrador del servidor en 6822A-NYC-SVR1.

Tarea 2: Usar CMAK para crear un archivo ejecutable distribuible que automatice la creación de objetos de conexión para los
usuarios

1. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Kit de administración del
administrador de la conexión.

2. En la Página principal del Asistente del Kit de administración del administrador de la conexión, haga
clic en Siguiente. Especifique la siguiente configuración de la interfaz del asistente y acepte los valores
predeterminados para las demás configuraciones:

En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANK
como nombre del servicio y VPN_CORP como nombre del archivo.

En Agregar compatibilidad para conexiones VPN, seleccione Libreta de teléfonos de este perfil y
especifique siempre usar el mismo servidor VPN con la dirección IP 10.10.0.24.

En Agregar una libreta de teléfonos, desactive Descargar automáticamente actualizaciones de la


libreta de teléfonos.

3. En la página Su perfil de Administrador de la conexión está completo y listo para distribuirse, haga clic
en Finalizar.

4. En NYC-SVR1, copie la carpeta VPN_CORP desde la ubicación C:\ArchivosdePrograma\CMAK\Profiles


\Vista\ en \\NYC-DC1\Módulo6.

En la página Especificar el nombre del servicio y el nombre del archivo, use VPN WOODGROVEBANK
como nombre del servicio y VPN_CORP como nombre del archivo.

Tarea 3: Instalar y probar el perfil CMAK

1. En 6822A-NYC-CL1, en el recurso compartido \\NYC-DC1\módulo6\, ejecute CORP_VPN.exe para crear el


objeto de conexión VPN.

Se abrirá el objeto de conexión VPN WOODGROVEBANK.

2. En el objeto de conexión VPN WOODGROVEBANK, escriba las siguientes credenciales y luego haga clic en
Conectar:
Nombre de usuario: Administrador

Contraseña: Pa$$w0rd

Dominio de inicio de sesión: Woodgrovebank

3. Establezca Ubicación de red para trabajar.

4. Compruebe que la VPN se conecte correctamente en Conexiones de red. Haga clic con el botón secundario
en el icono de conexión y luego haga clic en Desconectar.

Tarea 4: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Cierre el Iniciador de laboratorio de 6822A.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. Está agregando servicios de acceso remoto a una infraestructura existente que usa enrutadores no compatibles
con RFC 1542. El servidor DHCP no está en la misma subred que el servidor de acceso remoto. ¿Qué
problema podría surgir debido a esta configuración? ¿Cómo mitigaría este problema?

2. Desea implementar una solución VPN para usuarios en su compañía pero el grupo responsable de la seguridad
no quiere abrir el firewall al tráfico PPTP y L2TP. ¿Es posible crear una solución tal en Windows Server 2008?
Si es posible, ¿qué usaría?

3. Basándose en el escenario de la pregunta anterior, ¿qué cifrado se usa para asegurar el tráfico?

4. ¿Es posible ignorar las propiedades de marcado asignadas a las cuentas en Active Directory con directivas de
red? ¿En qué categoría de propiedad estaría establecido?

5. Ha habilitado el registro RADIUS completo en los servidores de acceso remoto de su organización y ha


comprobado que los registros están reuniendo la información solicitada. Después de algunas semanas de
registro, los usuarios comienzan a llamar al Departamento de soporte técnico porque se producen errores en
sus intentos de conexión. ¿Cuál es probablemente el problema?

Procedimientos recomendados

Las decisiones acerca de cuál es el mejor método para brindar acceso remoto variarán según las herramientas que se
hayan seleccionado:

Instale y pruebe los servidores que se ejecutan con el servicio Enrutamiento y acceso remoto antes de
configurarlos como clientes RADIUS.

Los servidores RADIUS y de acceso remoto deben ser servidores dedicados. Esto reduce la probabilidad de
que usuarios no autorizados obtengan acceso a la red y debiliten la configuración de seguridad.

Asegure físicamente los servidores RADIUS y de acceso remoto.

Deshabilite los protocolos de autenticación que no usa. No use PAP a menos que deba brindar compatibilidad
con sistemas heredados.

Determine los niveles de registro deseados para fines de auditoria y realice copias de seguridad de los
registros RADIUS.

Asegure las sesiones de administración remota con IPsec o VPN si las sesiones se inician externamente.
Herramientas

Herramienta Usar para Dónde encontrarla

Herramienta de Administrar y configurar el servicio Enrutamiento y acceso


administración de Enrutamiento y acceso remoto en remoto en el menú
Enrutamiento y acceso el servidor local Herramientas
remoto administrativas

Servidor de directivas Administrar y crear directivas de Servidor de directivas


de redes red de redes en el menú
Herramientas
administrativas

Kit de administración del Crear objetos de conexión Kit de administración de


administrador de la personalizados y distribuibles Connection Manager en
conexión para su instalación en los equipos el menú Herramientas
del cliente administrativas

Visor de eventos Visualizar información registrada Visor de eventos en el


de eventos de aplicación, sistema menú Herramientas
y seguridad. administrativas
Módulo 7: Instalación, configuración y solución de problemas del servicio
de función Servidor de directivas de redes

Módulo 7

Instalación, configuración y solución de problemas del servicio de


función Servidor de directivas de redes
Este módulo explica cómo instalar, configurar y solucionar problemas del servicio de función Servidor de directivas de
redes. Servidor de directivas de redes (NPS) es la implementación de Microsoft® de un servidor y proxy de Servicio
de autenticación remota telefónica de usuario (RADIUS) en Windows Server® 2008. NPS es el reemplazo para el
Servicio de autenticación de Internet (IAS) en Windows Server 2003.

Lección 1: Instalación y configuración de un Servidor de directivas de redes

Lección 2: Configuración de clientes y servidores RADIUS

Lección 3: Métodos de autenticación NPS

Lección 4: Supervisión y solución de problemas de un Servidor de directivas de redes

Laboratorio: Configuración y administración de Servidor de directivas de redes


Lección 1: Instalación y configuración de un Servidor de directivas de
redes
Lección 1:

Instalación y configuración de un Servidor de directivas de redes

NPS permite configurar y administrar directivas de redes de manera central con las siguientes tres características:
Servidor RADIUS, Proxy RADIUS y servidor de directivas NAP.
¿Qué es un Servidor de directivas de redes?

¿Qué es un Servidor de directivas de redes?

NPS permite crear y aplicar las directivas de acceso a redes de toda la organización para el mantenimiento del cliente,
la autenticación y la autorización de solicitudes de conexión. También puede usar NPS como un proxy RADIUS para
reenviar solicitudes de conexión a NPS o a otros servidores RADIUS que configure en grupos de servidores remotos
RADIUS.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Servidor de directivas de redes


Escenarios de uso de Servidor de directivas de redes

Escenarios de uso de Servidor de directivas de redes

Puede usar NPS en Windows Server 2008 como servidor o proxy RADIUS.

Como servidor RADIUS, NPS realiza en forma centralizada la autenticación de conexiones, la autorización de
conexiones y la contabilidad para muchos tipos de acceso a redes, incluso inalámbrico, conmutador de
autenticación, acceso remoto telefónico o VPN y conexiones de enrutador a enrutador.

Como proxy RADIUS, NPS reenvía mensajes de autenticación y de cuentas a otros servidores RADIUS.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes
Demostración: Cómo instalar el Servidor de directivas de redes

Demostración: Cómo instalar el Servidor de directivas de redes


Herramientas usadas para administrar un Servidor de directivas de redes

Herramientas usadas para administrar un Servidor de directivas de redes

Las siguientes herramientas permiten administrar la función del servidor Directiva de red y Servicios de acceso:

Complemento MMC NPS. Use MMC NPS para configurar un servidor RADIUS, un proxy RADIUS o tecnología
NAP.

Comandos Netsh para NPS. Los comandos netsh para NPS brindan un conjunto de comandos completamente
equivalentes con todos los valores de configuración disponibles a través del complemento MMC NPS.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Descripción general de Servidor de directivas de redes
Demostración: Configuración general de NPS

Demostración: Configuración general de NPS


Lección 2: Configuración de clientes y servidores RADIUS

Lección 2:

Configuración de clientes y servidores RADIUS

RADIUS es un protocolo basado en los estándares del sector descrito en RFC 2865, “Servicio de autenticación
remota telefónica de usuario (RADIUS)” y RFC 2866, “Administración de cuentas RADIUS”. RADIUS brinda
autenticación, autorización y servicios de cuentas de red.

Los siguientes componentes forman parte de la infraestructura de autenticación, autorización y cuentas de RADIUS:

Clientes de acceso

Servidores de acceso (clientes RADIUS)

Proxy RADIUS

Servidores RADIUS

Bases de datos de cuentas de usuario


¿Qué es un cliente RADIUS?

¿Qué es un cliente RADIUS?

Un servidor de acceso a la red (NAS) es un dispositivo que brinda cierto nivel de acceso a una red de mayor tamaño.
Un NAS que usa una infraestructura RADIUS también es un cliente RADIUS y envía solicitudes de conexión y
mensajes de cuentas a un servidor RADIUS para su autenticación, autorización y contabilidad.

Importante: Los equipos cliente, como equipos portátiles inalámbricos y otros equipos que ejecutan sistemas
operativos cliente, no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red
(incluyendo puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores VPN y
servidores de acceso telefónico) porque usan el protocolo RADIUS para comunicarse con servidores
RADIUS, como los servidores NPS.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Clientes RADIUS


¿Qué es un proxy RADIUS?

¿Qué es un proxy RADIUS?

Se puede usar NPS como un proxy RADIUS para enrutar mensajes entre clientes RADIUS (servidores de acceso) y
servidores RADIUS que realizan la autenticación, autorización y administración de cuentas de usuario para el intento de
conexión.

Cuando se usa NPS como un proxy RADIUS, NPS es un punto central de conmutación o enrutamiento a través del que
fluyen los mensajes RADIUS de acceso y de cuentas. NPS almacena información en un registro de cuentas acerca de
los mensajes reenviados.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Proxy RADIUS


Demostración: Configuración de un cliente RADIUS

Demostración: Configuración de un cliente RADIUS


Configuración del procesamiento de solicitud de conexión

Configuración del procesamiento de solicitud de conexión

Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores de
red designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPS
recibe de clientes RADIUS.

La directiva de solicitud de conexión predeterminada usa NPS como un servidor RADIUS y procesa localmente todas
las solicitudes de autenticación.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Configurar la información del puerto UDP NPS
¿Qué es una Directiva de solicitud de conexión?

¿Qué es una Directiva de solicitud de conexión?

Las directivas de solicitud de conexión son conjuntos de condiciones y valores que permiten a los administradores de
red designar qué servidores RADIUS realizan la autenticación y autorización de las solicitudes de conexión que NPS
recibe de clientes RADIUS. Se pueden configurar directivas de solicitud de conexión para designar qué servidores
RADIUS usar para la administración de cuentas RADIUS.

Material de lectura adicional

Ayuda para Servidor de directivas de redes: Directivas de solicitud de conexión


Demostración: Creación de una nueva directiva de solicitud de conexión

Demostración: Creación de una nueva directiva de solicitud de conexión


Lección 3: Métodos de autenticación NPS
Lección 3:

Métodos de autenticación NPS

Cuando los usuarios intentan conectarse a su red a través de servidores de acceso a la red (también denominados
clientes RADIUS) como puntos de acceso inalámbrico, conmutadores de autenticación 802.1X, servidores de acceso
telefónico y VPN, NPS autentica y autoriza la solicitud de conexión antes de permitir o denegar el acceso.

Debido a que la autenticación es el proceso mediante el que se comprueba la identidad del usuario o equipo que
intenta conectarse a la red, NPS debe recibir pruebas de identidad por parte del usuario o equipo en forma de
credenciales.
Métodos de autenticación basados en contraseña

Métodos de autenticación basados en contraseña

Cada método de autenticación tiene ventajas y desventajas en lo que se refiere a seguridad, posibilidades de uso y
amplitud de compatibilidad. Sin embargo, los métodos de autenticación basados en contraseña no brindan mayor
seguridad. Por lo tanto, no se recomienda su uso. Se recomienda usar un método de autenticación basado en
certificados para todos los métodos de acceso a la red que sean compatibles con el uso de certificados. Esto se
aplica especialmente en conexiones inalámbricas para las que se recomienda el uso de PEAP-MS-CHAP v2 o
PEAP-TLS.

Material de lectura adicional

Tema de Ayuda: Métodos de autenticación basados en contraseña


Uso de certificados para autenticación

Uso de certificados para autenticación

Los certificados son documentos digitales que emiten las entidades de certificación (CA), como Servicios de
certificados de Active Directory (AD CS) o la entidad de certificación pública Verisign. Los certificados se pueden usar
para diversos propósitos, como la firma de código y para asegurar la comunicación por correo electrónico. Sin
embargo, con NPS se usan certificados para la autenticación del acceso a la red porque brindan mayor seguridad para
la autenticación de usuarios y equipos y, a su vez, eliminan la necesidad de usar métodos menos seguros de
autenticación basados en contraseña.

Material de lectura adicional

Tema de Ayuda: Certificados y NPS


Certificados requeridos para los métodos de autenticación NPS

Certificados requeridos para los métodos de autenticación NPS

La siguiente tabla describe los certificados que se requieren para implementar correctamente cada uno de los
métodos de autenticación basados en certificados que se encuentran en la lista.

¿Se requiere para ¿Se requiere para


Certificado EAP-TLS y PEAP-TLS? PEAP-MS-CHAP v2?


Certificado de CA en el almacén de certificados de Sí
entidades de certificación raíz de confianza para el equipo
local y usuario actual

Sí No
Certificado de equipo cliente en el almacén de certificados
del cliente

Sí Sí
Certificado de servidor en el almacén de certificados del
servidor NPS

No No
Certificado de usuario en una tarjeta inteligente

Material de lectura adicional

Tema de Ayuda: Requisitos de certificados para PEAP y EAP

Tema de Ayuda: Certificados y NPS


Implementación de certificados para PEAP y EAP

Implementación de certificados para PEAP y EAP

Todos los certificados que se usan para la autenticación del acceso a la red con EAP-TLS y PEAP deben cumplir con
los requisitos para certificados X.509 y funcionar en conexiones que usan Capa de sockets seguros y Seguridad de la
capa de transporte (SSL/TLS). Una vez cumplidos los requisitos mínimos, los certificados tanto de cliente como de
servidor tienen requisitos adicionales.

Material de lectura adicional

Tema de Ayuda: Certificados y NPS

Tema de Ayuda: EAP y NPS

Tema de Ayuda: PEAP y NPS


Lección 4: Supervisión y solución de problemas de un Servidor de
directivas de redes

Lección 4:

Supervisión y solución de problemas de un Servidor de directivas de


redes

Se puede supervisar NPS configurando y usando registros para la autenticación de eventos y usuarios y solicitudes de
cuentas. El registro de eventos permite registrar eventos NPS en los registros de eventos del sistema y de seguridad.
El registro de solicitudes se puede usar para fines de análisis y facturación de la conexión. La información que
recopilan los archivos de registro resulta útil para solucionar problemas de intentos de conexión y para investigación de
seguridad.
Métodos usados para supervisar NPS

Métodos usados para supervisar NPS

Existen dos tipos de cuentas o registros que se pueden usar para supervisar NPS:

Registro de eventos para NPS. Se puede usar el registro de eventos para registrar eventos NPS en los
registros de eventos del sistema y de seguridad. Principalmente, se usa para auditar y solucionar problemas de
intentos de conexión.

Registro de solicitudes de autenticación y cuentas de usuario. Las solicitudes de autenticación de usuario y de


cuentas se pueden registrar en archivos de registro en formato de texto o de base de datos, o se pueden
almacenar en un procedimiento almacenado en una base de datos de SQL Server 2000. Use el registro de
solicitudes principalmente para fines de análisis y facturación de la conexión y como una herramienta de
investigación de seguridad, ya que permite identificar la actividad de un atacante.

Material de lectura adicional

Tema de Ayuda: Procedimientos recomendados para NPS


Configuración de propiedades del archivo de registro

Configuración de propiedades del archivo de registro

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas.

Material de lectura adicional

Tema de Ayuda: Configurar propiedades del archivo de registro

Tema de Ayuda: Procedimientos recomendados para NPS


Configuración del registro SQL Server

Configuración del registro SQL Server

Se puede configurar NPS para que realice la administración de cuentas RADIUS para las solicitudes de autenticación
de usuarios, mensajes Acceso-Aceptación, mensajes Acceso-Denegación, solicitudes y respuestas de cuentas y
actualizaciones de estado periódicas. Este procedimiento puede usarse para configurar las propiedades de registro y
la conexión al servidor (que ejecuta SQL Server) que almacena los datos de cuentas. La base de datos de SQL Server
puede estar en el equipo local o en un servidor remoto.

Material de lectura adicional

Tema de Ayuda: Configurar el registro SQL en NPS


Configuración de eventos NPS para que se registren en Visor de eventos

Configuración de eventos NPS para que se registren en Visor de eventos

Se puede configurar el registro de eventos NPS para que registre los eventos satisfactorios y de error de las
solicitudes de conexión en el registro del sistema de Visor de eventos.

Material de lectura adicional

Tema de Ayuda: Eventos NPS y Visor de eventos

Tema de Ayuda: Configurar el registro de eventos NPS


Laboratorio: Configuración y administración de Servidor de directivas de
redes

Laboratorio: Configuración y administración de Servidor de directivas


de redes

Objetivos

Al finalizar este laboratorio, podrá:

Instalar el servicio de función Servidor de directivas de redes y establecer la configuración de Servidor de


directivas de redes

Configurar un cliente RADIUS

Configurar la Inscripción automática de certificados

Escenario

Woodgrove Bank está expandiendo su solución de acceso remoto a todos los empleados de sus sucursales. Esto
requerirá múltiples servidores de Enrutamiento y acceso remoto ubicados en diferentes puntos para brindar
conectividad a sus empleados. Usará RADIUS para centralizar la autenticación y las cuentas para la solución de
acceso remoto.

Al especialista en tecnología de Servicios de infraestructura de Windows se le ha asignado la tarea de instalar y


configurar Servidor de directivas de redes en una infraestructura existente a fin de que sea usada para NAP, acceso
inalámbrico y alámbrico, RADIUS y proxy RADIUS.
Ejercicio 1: Instalación y configuración del servicio de función Servidor de
directivas de redes

Ejercicio 1: Instalación y configuración del servicio de función Servidor de directivas de redes

Descripción general del ejercicio

En este ejercicio, instalará y configurará la función Servidor de directivas de redes.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales e iniciar sesión.

2. Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1.

3. Instalar la función Directiva de red y Servicios de acceso.

4. Registrar NPS en Active Directory.

5. Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN.

Tarea 1: Iniciar las máquinas virtuales e iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Instalar la función Directiva de red y Servicios de acceso

1. En NYC-DC1, en el panel de la lista Administrador del servidor, haga clic con el botón secundario en
Funciones y luego haga clic en Agregar funciones.

2. Instale el servicio de función Servidor de directivas de redes desde la función Directiva de red y servicios
de acceso.

3. En la página Resultados de instalación, compruebe que aparezca Instalación completa en el panel de


detalles y luego haga clic en Cerrar.

4. Se instalará la función Servidor de directivas de redes en 6822A-NYC-DC1.

5. No cierre sesión ni apague las máquinas virtuales en este momento.

Tarea 3: Registrar NPS en Active Directory

1. Abra Servidor de directivas de redes en el menú Herramientas administrativas.

2. Usando la herramienta NPS, registre NPS en Active Directory.

El Servidor de directivas de redes se registra en Active Directory.

Tarea 4: Configurar 6822A-NYC-DC1 para que sea un servidor RADIUS para conexiones de acceso telefónico o VPN

1. En el panel de la lista de la herramienta de administración Servidor de directivas de redes, haga clic en NPS
(Local).

2. En el panel de detalles, en Configuración estándar, haga clic en servidor RADIUS para Acceso telefónico o
Conexiones VPN.
3. En Servidor Radius para conexiones de acceso telefónico o VPN, haga clic en Configurar VPN o
acceso telefónico, especifique Conexiones de red privada virtual (VPN) y acepte el nombre
predeterminado.

4. En el cuadro de diálogo Clientes RADIUS, agregue NYC-SVR1 como un cliente RADIUS con la dirección
10.10.0.24.

5. En el cuadro de diálogo Nuevo cliente RADIUS, especifique y confirme el secreto compartido Pa$$w0rd y
luego haga clic en Aceptar.

6. En el cuadro de diálogo Especificar servidor de acceso telefónico o VPN, acepte la configuración


predeterminada.

7. En el cuadro de diálogo Configurar métodos de autenticación, seleccione Protocolo de autenticación


extensible y MS-CHAPv2.

8. En la página Especificar grupos de usuarios, acepte la configuración predeterminada.

9. En la página Especificar filtros IP, acepte la configuración predeterminada.

10. En la página Especificar configuración de cifrado, desactive Cifrado básico y Cifrado fuerte.

11. En la página Especificar un nombre de territorio, acepte la configuración predeterminada y finalice el


asistente.

12. Cerrar la herramienta administrativa Servidor de directivas de redes.


Ejercicio 2: Configuración de un cliente RADIUS

Ejercicio 2: Configuración de un cliente RADIUS

Descripción general del ejercicio

En este ejercicio, configurará 6822A-NYC-SVR1 para que hospede Servicios de enrutamiento y acceso remoto y
6822A-NYC-SVR1 como cliente RADIUS.

Las principales tareas se realizarán como se detalla a continuación:

1. Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1.

2. Instalar la función Servicios de enrutamiento y acceso remoto.

3. Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de
acceso remoto y especificar la autenticación y administración de cuentas RADIUS.

Tarea 1: Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1

En 6822A-NYC-SVR1, abra Administrador del servidor en el menú Herramientas administrativas.

Tarea 2: Instalar la función Servicios de enrutamiento y acceso remoto en 6822A-NYC-SVR1

1. Usando Administrador del servidor, instale la función Directiva de red y servicios de acceso con el
servicio de función Enrutamiento y acceso remoto.

2. En la página Resultados de instalación, compruebe que aparezca Instalación completa en el panel de


detalles y luego haga clic en Cerrar.

3. Se instala la función Servicios de enrutamiento y acceso remoto en 6822A-NYC-SVR1.

4. No cierre sesión ni apague las máquinas virtuales en este momento.

Tarea 3: Configurar 6822A-NYC-SVR1 como un servidor VPN con un grupo de direcciones estáticas para clientes de acceso remoto
y especificar la autenticación y administración de cuentas RADIUS

1. Abra la herramienta administrativa Servicios de enrutamiento y acceso remoto y haga clic en Configurar y
habilitar enrutamiento y acceso remoto.

2. Configure Acceso remoto (acceso telefónico o VPN) predeterminado y, en la página Acceso remoto,
seleccione la opción VPN.

3. En la página Conexión VPN, seleccione la interfaz Conexión de área local 2.

4. En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado.

5. Use el intervalo 192.168.1.100 con 75 direcciones disponibles para el grupo estático.

6. En la página Administración de servidores de acceso remoto múltiples, seleccione Sí, configurar este
servidor para que trabaje con un servidor RADIUS y luego haga clic en Siguiente.

7. Establezca las siguientes configuraciones:

Servidor RADIUS principal: NYC-DC1

Secreto compartido para el servidor RADIUS: Pa$$w0rd

Acepte la configuración predeterminada durante el resto del proceso de configuración

8. Cierre la herramienta administrativa Servicios de enrutamiento y acceso remoto.


Ejercicio 3: Configuración de Inscripción automática de certificados

Ejercicio 3: Configuración de Inscripción automática de certificados

Descripción general del ejercicio

En este ejercicio, configurará la Inscripción automática de certificados para que los equipos usen autenticación
avanzada.

Las principales tareas se realizarán como se detalla a continuación:

1. Instalar y configurar Servicios de certificados en NYC-DC1.

2. Abrir la herramienta Administración de directivas de grupo en 6822A-NYC-DC1 y configurar la Inscripción


automática de certificados.

3. Cerrar todas las máquinas virtuales y eliminar los cambios.

Tarea 1: Instalar y configurar Servicios de certificados en NYC-DC1

1. En NYC-DC1, inicie Administrador del servidor en el menú Herramientas administrativas.

2. Instale la función Servicios de certificado de Active Directory usando los valores predeterminados para lo
siguiente:

Nombre de CA = WoodGroveBank-CA

3. En la página Resultados de instalación, haga clic en Cerrar.

4. En el menú Herramientas administrativas, abra la herramienta de administración Entidad de certificación.

5. Haga clic con el botón secundario en Plantillas de certificado y luego seleccione Administrar en el menú
contextual.

6. Cambie la seguridad de la plantilla Equipo para que otorgue a Usuarios autenticados el permiso Inscribir.

7. Cierre Plantillas de certificado y las consolas de administración certsrv.

Tarea 2: Abrir la herramienta Administración de directivas de grupo en 6822A-NYC-DC1 y configurar la Inscripción automática de
certificados

1. En 6822A-NYC-DC1, abra Administración de directivas de grupo en el menú Herramientas


administrativas.

2. En la herramienta Administración de directivas de grupo, expanda Bosque: WoodgroveBank.com, luego


Dominios y finalmente WoodgroveBank.com.

3. Haga clic con el botón secundario en Directiva de dominio predeterminada y luego haga clic en Editar.

4. Expanda Configuración del equipo, luego Directivas, Configuración de Windows, Configuración de


seguridad y finalmente Directivas de claves públicas.

5. Haga clic con el botón secundario en Configuración de solicitud de certificado automático, haga clic en
Nuevo y luego en Solicitud de certificado automático.

6. Acepte la configuración predeterminada mientras ejecute el asistente.

7. Cierre Editor de administración de directivas de grupo.

8. Cierre la herramienta Administración de directivas de grupo.

La Inscripción automática de certificados ahora está configurada para los equipos del dominio WoodgroveBank.

9. Inicie 6822A-NYC-CL1 e inicie sesión como Administrador usando la contraseña Pa$$w0rd.

10. Cree una nueva consola MMC con el complemento Certificados. Centre el complemento en Cuenta del
equipo.
11. En la consola MMC, compruebe que la cuenta de equipo haya inscripto el certificado desde
WoodGroveBank-CA.

Tarea 3: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Cierre el Iniciador de laboratorio de 6822A.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Por qué se debe registrar el servidor NPS en Active Directory?

2. ¿Cuál es la manera más eficaz de usar las características del registro NPS?

3. ¿Cuáles son los puertos predeterminados de autenticación y de cuentas para RADIUS? ¿Cuál es el
procedimiento para configurar la información del puerto UDP NPS usando la interfaz de Windows?

4. ¿Qué más debe considerar si decide usar una asignación de puerto no estándar para el tráfico RADIUS?

Procedimientos recomendados

Realice las siguientes tareas antes de instalar NPS:

Instale y pruebe cada servidor de acceso a la red usando métodos de autenticación locales antes de
convertirlos en clientes RADIUS.

Luego de instalar y configurar NPS, guarde la configuración usando el comando netsh nps mostrar config >
ruta\archivo.txt. Guarde la configuración NPS con el comando netsh nps mostrar config > ruta\archivo.txt cada
vez que se realice un cambio.

No instale Windows Server 2008, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise
Edition, o Windows Server 2003 Datacenter Edition en la misma partición que Windows 2000 Server.

No configure un servidor que se ejecuta con NPS o Enrutamiento y acceso remoto como miembro de un
dominio Windows NT Server 4.0 si la base de datos de las cuentas de usuario está almacenada en un
controlador de dominio de Windows Server 2008 o Windows Server 2003 en otro dominio.

Problemas de seguridad

Se recomienda el uso de dos métodos para la administración remota de servidores NPS:

Use Servicios de Terminal Server para obtener acceso al servidor NPS (escritorio remoto).

Use Protocolo de seguridad de Internet (IPsec) para cifrar datos confidenciales.

Herramientas

A continuación se describen las herramientas que pueden usarse para configurar, administrar, supervisar y solucionar
problemas de NPS:

Herramienta Usar para Dónde encontrarla

Servidor de directivas Administrar y crear directivas Servidor de directivas de redes


de redes de red en el menú Herramientas
administrativas

Herramienta de línea Crear scripts administrativos En una ventana del comando,


de comandos Netsh para configurar y administrar escriba netsh nps para
la función Servidor de administrar desde un entorno
directivas de redes de comando

Visor de eventos Visualizar información Visor de eventos en el menú


registrada de eventos de Herramientas administrativas
aplicación, sistema y
seguridad
Módulo 8: Configuración de Protección de acceso a redes

Módulo 8:

Configuración de Protección de acceso a redes


Protección de acceso a redes (NAP) garantiza el cumplimiento con directivas de mantenimiento específicas para los
sistemas que tienen acceso a la red. NAP sirve de ayuda para que los administradores logren y mantengan una
directiva de mantenimiento específica. Este módulo brinda información acerca de cómo funciona NAP y cómo
configurar, supervisar y solucionar problemas de NAP.

Lección 1: Descripción general de Protección de acceso a redes

Lección 2: Cómo funciona NAP

Lección 3: Configuración de NAP

Lección 4: Supervisión y solución de problemas de NAP

Laboratorio: Configuración de NAP para DHCP y VPN


Lección 1: Descripción general de Protección de acceso a redes

Lección 1:

Descripción general de Protección de acceso a redes

NAP es una plataforma de aplicación de directivas de mantenimiento de sistema integrada en Windows Server® 2008,
Windows Vista™ y Windows® XP Service Pack 3 (que incluye el cliente NAP para Windows XP, que actualmente se
encuentra en pruebas beta). Esta plataforma brinda una mayor protección a los activos de red privada asegurando su
adecuación con los requisitos de mantenimiento del sistema. NAP permite crear directivas de requisitos de
mantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,
así como también para actualizar automáticamente los equipos compatibles a fin de garantizar el cumplimiento
continuo y limitar el acceso de los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.
¿Qué es Protección de acceso a redes?

¿Qué es Protección de acceso a redes?

NAP para Windows Server 2008, Windows Vista y Windows XP Service Pack 3 brinda componentes y una interfaz de
programación de aplicaciones (API) que ayuda a los administradores a aplicar el cumplimiento de las directivas de
requisitos de mantenimiento para el acceso a la red o la comunicación por red. NAP permite a los programadores y
administradores crear soluciones para validar los equipos que se conectan a sus redes, así como también brindar las
actualizaciones necesarias o el acceso a los recursos de actualización de mantenimiento requeridos y restringir el
acceso o la comunicación de los equipos no compatibles.

NAP cuenta con tres aspectos destacados de importancia:

Validación del estado de mantenimiento

Cumplimiento con directivas de mantenimiento

Acceso limitado

Pregunta: ¿Cómo usaría el cumplimiento NAP en su entorno, teniendo en cuenta usuarios domésticos, equipos
portátiles móviles y socios comerciales externos?Material de lectura adicional

Introducción a la Protección de acceso a redes


NAP Scenarios

NAP Scenarios

NAP brinda una solución para los siguientes escenarios frecuentes:

Comprobar el estado de mantenimiento de equipos portátiles móviles

Comprobar el estado de mantenimiento de equipos de escritorio

Comprobar el estado de mantenimiento de equipos portátiles visitantes

Comprobar el estado de mantenimiento de equipos domésticos no administrados

Según las necesidades de cada uno, los administradores pueden configurar una solución para abordar uno o todos los
escenarios para sus redes.

Pregunta: ¿Ha tenido alguna vez un inconveniente con un equipo portátil no administrado y no seguro que haya
causado algún daño a su red? ¿Cree que NAP podría haber abordado este problema?

Material de lectura adicional

Network Access Protection (Protección de acceso a redes)


Métodos de cumplimiento NAP

Métodos de cumplimiento NAP

Los componentes de la infraestructura NAP, también denominados clientes de cumplimiento (EC) y servidores de
cumplimiento (ES), requieren validación de estado de mantenimiento y la aplicación del acceso a redes limitado para
los equipos no compatibles para el acceso a redes o comunicación por red específicas. Windows Vista, Windows XP
Service Pack 3 y Windows Server 2008 incluyen compatibilidad NAP para los siguientes tipos de acceso a la red o
comunicación por red:

Tráfico protegido por Protocolo de seguridad de Internet (IPsec)

Conexiones de red autenticadas por 802.1X del Institute of Electrical and Electronics Engineers (Instituto de
Ingenieros Eléctricos y Electrónicos, IEEE)

Conexiones VPN de acceso remoto

Configuraciones de direcciones de Protocolo de configuración dinámica de host (DHCP)

Windows Vista y Windows Server 2008 también incluyen compatibilidad NAP para las conexiones de Puerta de enlace
de Terminal Services (Puerta de enlace TS).

Pregunta: ¿Qué tipo de cumplimiento NAP sería más apropiado para su compañía? ¿Puede imaginar a su
organización usando varios tipos de cumplimiento NAP? De ser así, ¿cuáles?

Material de lectura adicional

Terminal Services

Network Access Protection (Protección de acceso a redes)


Arquitectura de la plataforma NAP

Arquitectura de la plataforma NAP

Los componentes de una infraestructura de red habilitada para NAP constan de lo siguiente:

Clientes NAP

Puntos de cumplimiento NAP, que incluyen:

HRA

Servidor VPN

Servidor DHCP

Dispositivos de acceso a la red

Servidores de directivas de mantenimiento NAP

Servidores de requisitos de mantenimiento

AD DS

La red restringida, que incluye:

Servidores de actualizaciones

Clientes NAP con acceso limitado

Pregunta: ¿Usa actualmente su entorno la autenticación 802.1x en el nivel de conmutación? De ser así, ¿sería
beneficioso usar 802.1x NAP, teniendo en cuenta que se pueden configurar varias VLAN de actualización para ofrecer
un acceso limitado?

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a redes)
Interacciones de la arquitectura de NAP

Interacciones de la arquitectura de NAP

Las siguientes interacciones son para los equipos y dispositivos de una infraestructura de red habilitada para NAP:

Entre un cliente NAP y una HRA

Entre un cliente NAP y un dispositivo de acceso a la red con 802.1X (un conmutador Ethernet o un punto de
acceso inalámbrico)

Entre un cliente NAP y un servidor VPN

Entre un cliente NAP y un servidor DHCP

Entre un cliente NAP y un servidor de actualizaciones

Entre una HRA y un servidor de directivas de mantenimiento NAP

Entre un dispositivo de acceso la red con 802.1X y un servidor de directivas de mantenimiento NAP

Entre un servidor VPN y un servidor de directivas de mantenimiento NAP

Entre un servidor DHCP y un servidor de directivas de mantenimiento NAP

Entre un servidor de directivas de mantenimiento NAP y un servidor de requisitos de mantenimiento

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)
Infraestructura de cliente NAP

Infraestructura de cliente NAP

La arquitectura del cliente NAP consiste en:

Un nivel de componentes de cliente de cumplimiento NAP

Un nivel de componentes del agente de mantenimiento del sistema (SHA)

Agente NAP

Interfaz de programación de aplicaciones (API) SHA

API del Cliente de cumplimiento NAP

Los Clientes de cumplimiento NAP para la plataforma NAP que ofrece Windows Vista, Windows Server 2008 y
Windows XP con SP2 (con Cliente NAP para Windows XP) son los siguientes:

Un Cliente de cumplimiento NAP para IPsec para comunicaciones protegidas por IPsec

Un Cliente de cumplimiento NAP para EAPHost para conexiones autenticadas por 802.1X

Un Cliente de cumplimiento NAP para VPN para conexiones VPN de acceso remoto

Un Cliente de cumplimiento NAP para DHCP para configuración de direcciones IPv4 basada en DHCP

Pregunta: ¿Cómo haría su organización para habilitar a los clientes de cumplimiento apropiados en los equipos que
no sean de dominio que se encuentran fuera del ámbito de administración?

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

Network Access Protection (Protección de acceso a redes)


Infraestructura del servidor NAP

Infraestructura del servidor NAP

Un punto de cumplimiento NAP basado en Windows cuenta con un nivel de componentes de Servidor de cumplimiento
(ES) NAP. Cada servidor de cumplimiento NAP está definido por un tipo diferente de acceso a la red o comunicación
por red. Por ejemplo, existe un servidor de cumplimiento NAP para las conexiones VPN de acceso remoto y un
servidor de cumplimiento NAP para la configuración DHCP. El servidor de cumplimiento NAP habitualmente se
relaciona con un tipo específico de cliente compatible con NAP. Por ejemplo, el servidor de cumplimiento NAP para
DHCP está diseñado para funcionar con un cliente NAP basado en DHCP. Los proveedores de software de terceros o
Microsoft pueden brindar servidores de cumplimiento NAP adicionales para la plataforma NAP.

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)
Comunicación entre los componentes de la plataforma NAP

Comunicación entre los componentes de la plataforma NAP

El componente Agente NAP puede comunicarse con el componente Servidor de administración NAP mediante el
siguiente proceso:

1. El Agente NAP transfiere el SSoH al Cliente de cumplimiento NAP.

2. El Cliente de cumplimiento NAP transfiere el SSoH al Servidor de cumplimiento NAP.

3. El Servidor de cumplimiento NAP transfiere el SSoH al servicio NPS.

4. El servicio NPS transfiere el SSoH al Servidor de administración NAP.

El Servidor de administración NAP puede comunicarse con un Agente NAP mediante el siguiente proceso:

1. El Servidor de administración NAP transfiere las SoHR al servicio NPS.

2. El servicio NPS transfiere la respuesta al informe de mantenimiento del sistema (SSoHR) al Servidor de
cumplimiento NAP.

3. El Servidor de cumplimiento NAP transfiere la SSoHR al Cliente de cumplimiento NAP.

4. El Cliente de cumplimiento NAP transfiere la SSoHR al Agente NAP.

Un SHA puede comunicarse con su correspondiente SHV mediante el siguiente proceso:

1. El SHA transfiere el SoH al Agente NAP.

2. El Agente NAP transfiere el SoH, incluido en el SSoH, al Cliente de cumplimiento NAP.

3. El Cliente de cumplimiento NAP transfiere el SoH al Servidor de cumplimiento NAP.

4. El Servidor de cumplimiento NAP transfiere el SoH al Servidor de administración NAP.

5. El Servidor de administración NAP transfiere el SoH al SHV.

El SHV puede comunicarse con su correspondiente SHA mediante el siguiente proceso:

1. El SHV transfiere su SoHR al Servidor de administración NAP.

2. El Servidor de administración NAP transfiere la SoHR al servicio NPS.

3. El servicio NPS transfiere la SoHR, incluida en la SSoHR, al Servidor de cumplimiento NAP.

4. El Servidor de cumplimiento NAP transfiere la SoHR al Cliente de cumplimiento NAP.


5. El Cliente de cumplimiento NAP transfiere la SoHR al Agente NAP.

6. El Agente NAP transfiere la SoHR al SHA.

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)
Lección 2: Cómo funciona NAP
Lección 2:

Cómo funciona NAP

El diseño de NAP habilita a los administradores a configurarla para cumplir con las necesidades de la red. Por lo tanto,
la configuración NAP real variará según las preferencias y requisitos del administrador. Sin embargo, el funcionamiento
subyacente de NAP no se modifica.

Cuando un cliente intenta obtener acceso a la red o comunicarse en la red, debe presentar el estado de mantenimiento
del sistema o el cumplimiento de prueba de mantenimiento. Si un cliente no puede probar su cumplimiento con los
requisitos de mantenimiento del sistema (por ejemplo, que cuenta con la última versión del sistema operativo y las
actualizaciones de antivirus instaladas), su acceso o comunicación a través de la red puede verse limitado a una red
restringida que contiene recursos de servidores hasta que los inconvenientes relacionados con el cumplimiento de
mantenimiento se solucionen. Una vez instaladas las actualizaciones, el cliente solicita acceso a la red o intenta
comunicarse nuevamente. Si es compatible, se le otorga acceso ilimitado a la red o se permite la comunicación.
Proceso de cumplimiento NAP

Proceso de cumplimiento NAP

NAP es una plataforma de aplicación de directivas integrada en los sistemas operativos de Windows Vista, Microsoft
Windows XP y Windows Server 2008 que brinda una mayor protección a los activos de red asegurando su adecuación
con los requisitos de mantenimiento del sistema. Con Protección de acceso a redes, pueden crearse directivas de
mantenimiento personalizadas para validar el mantenimiento del equipo antes de permitir el acceso o la comunicación,
actualizar automáticamente los equipos compatibles para garantizar el cumplimiento continuo y de manera opcional,
limitar los equipos no compatibles a una red restringida hasta que se vuelvan compatibles.

Para validar el acceso a la red en base al mantenimiento del sistema, una infraestructura de red debe brindar la
siguiente funcionalidad:

Validación de directivas de mantenimiento. Determina si los equipos cumplen con los requisitos de la directiva
de mantenimiento.

Limitación de acceso a la red. Limita el acceso a los equipos no compatibles.

Actualización automática. Brinda las actualizaciones necesarias para que un equipo no compatible se vuelva
compatible.

Cumplimiento continuo. Actualiza automáticamente los equipos compatibles para que incorporen los cambios
continuos de los requisitos de la directiva de mantenimiento.

Material de lectura adicional

Security and Policy Enforcement (Seguridad y cumplimiento de directivas)


Cómo funciona el cumplimiento IPsec

Cómo funciona el cumplimiento IPsec

El cumplimiento IPsec limita la comunicación para clientes NAP protegidos por IPsec disminuyendo los intentos
entrantes de comunicación que se envían desde equipos que no pueden negociar la protección IPsec usando
certificados de mantenimiento. A diferencia del cumplimiento 802.1X y VPN, donde el cumplimiento tiene lugar en el
punto de entrada de la red, cada equipo particular realiza el cumplimiento IPsec. Debido a que se puede aprovechar la
configuración de la directiva IPsec, el cumplimiento de certificados de mantenimiento puede realizarse para todos los
equipos en un dominio, determinados equipos en una subred, un equipo determinado, un conjunto determinado de
puertos de Protocolo de control de transmisión (TCP) o Protocolo de datagramas de usuario (UDP), o para un conjunto
de puertos TCP o UDP en un equipo determinado.

El cumplimiento IPsec define las siguientes redes lógicas:

Red segura

Red de límite

Red restringida

Basándose en la definición de las tres redes lógicas, se pueden iniciar las siguientes comunicaciones:

1. Los equipos en la red segura pueden iniciar comunicaciones con equipos en las tres redes lógicas.

2. Los equipos en la red de límite pueden iniciar comunicaciones con equipos en las redes seguras y de límite
que autentican los certificados de mantenimiento e IPsec o con equipos en la red restringida que IPsec no
autentica.

3. Los equipos en la red restringida pueden iniciar comunicaciones con equipos en las redes restringidas y de
límite.

Pregunta: ¿Para qué equipos en la red segura permitiría realizar una comunicación no segura desde equipos en la
red restringida?

Material de lectura adicional

Network Access Protection (Protección de acceso a redes)


Cómo funciona el cumplimiento 802.1x

Cómo funciona el cumplimiento 802.1x

El cumplimiento 802.1X IEEE le indica a un punto de acceso compatible con 802.1X que use un perfil de acceso
limitado, ya sea un conjunto de filtros de paquetes IP o un identificador VLAN, para limitar el tráfico del equipo no
compatible a fin de que pueda obtener acceso solamente a los recursos en la red restringida. Para el filtrado de
paquetes IP, el punto de acceso compatible con 802.1X aplica los filtros de paquetes IP al tráfico IP que se
intercambia con el cliente 802.1X y descarta automáticamente todos los paquetes que no corresponden a un filtro de
paquetes configurado. Para los identificadores VLAN, el punto de acceso compatible con 802.1X aplica el identificador
VLAN a todos los paquetes que se intercambian con el cliente 802.1X y el tráfico conserva la VLAN correspondiente a
la red restringida.

Si el cliente NAP no es compatible, la conexión 802.1X cuenta con el perfil de acceso limitado aplicado y el cliente
NAP puede obtener acceso solamente a los recursos en la red restringida.

Pregunta: ¿Qué deben admitir los dispositivos de red para implementar 802.1x NAP?

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

Network Access Protection (Protección de acceso a redes)


Cómo funciona el cumplimiento VPN

Cómo funciona el cumplimiento VPN

El cumplimiento VPN usa un conjunto de filtros de paquetes IP de acceso remoto para limitar el tráfico de cliente VPN
a fin de que tenga acceso únicamente a los recursos en la red restringida. El servidor VPN aplica los filtros de
paquetes IP al tráfico IP que recibe del cliente VPN y descarta automáticamente todos los paquetes que no
corresponden a un filtro de paquetes configurado.

Si el cliente VPN no es compatible, la conexión VPN cuenta con los filtros de paquetes aplicados y el cliente VPN
solamente puede obtener acceso a los recursos en la red restringida.

Pregunta: ¿Cómo responde el método de cumplimiento NAP para VPN a los equipos no compatibles que realizan
intentos de conexión?

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)
Cómo funciona el cumplimiento DHCP

Cómo funciona el cumplimiento DHCP

La configuración de direcciones DHCP limita el acceso a la red para el cliente DHCP mediante la tabla de enrutamiento
IPv4. El cumplimiento DHCP establece el valor de la opción Enrutador DHCP a 0.0.0.0, por lo que el equipo no
compatible no cuenta con una puerta de enlace configurada de manera predeterminada. El cumplimiento DHCP
también establece la máscara de subred para la dirección IPv4 asignada a 255.255.255.255, de manera tal que no
exista ninguna ruta a la subred adjunta.

Para permitir que el equipo no compatible tenga acceso a los servidores de actualizaciones de la red restringida, el
servidor DHCP asigna la opción Rutas estáticas sin clase DHCP. Esta opción contiene rutas host para los equipos de
la red restringida, como por ejemplo servidores DNS y de actualizaciones. El resultado final del acceso limitado a la red
DHCP es una tabla de configuración y de enrutamiento que permite la conectividad solamente a direcciones de destino
específicas que corresponden a la red restringida. Por lo tanto, cuando una aplicación intenta enviar a una dirección
IPv4 de unidifusión distinta a aquellas provistas mediante la opción Rutas estáticas sin clase, el protocolo TCP/IP
devuelve un error de enrutamiento.

Pregunta: ¿El tipo de cumplimiento NAP para DHCP funciona en redes IPv6?

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

protección de acceso a redes)


Lección 3: Configuración de NAP
Lección 3:

Configuración de NAP

Esta lección brinda información acerca de la configuración de cliente para que interoperen con la infraestructura del
lado del servidor de un entorno aplicado con NAP.

Un cliente compatible con NAP es un equipo que cuenta con los componentes NAP instalados y que puede comprobar
su estado de mantenimiento enviando un SoH a NPS.
¿Qué son los Validadores de mantenimiento del sistema?

¿Qué son los Validadores de mantenimiento del sistema?

Los SHA y SHV, que son componentes de la infraestructura NAP, brindan seguimiento y validación del estado de
mantenimiento. Windows Vista y Windows XP Service Pack 3 incluyen un SHA del validador de mantenimiento de
seguridad de Windows que supervisa la configuración del Centro de seguridad de Windows. Windows Server 2008
incluye un SHV del validador de mantenimiento de seguridad de Windows correspondiente. NAP está diseñado para
ser flexible y extensible e interopera con software de cualquier proveedor que brinde SHA y SHV que usen la API NAP.

Pregunta: ¿NAP funciona solamente con Validadores de mantenimiento del sistema proporcionados por Microsoft?

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

Introducción a la Protección de acceso a redes


¿Qué es una Directiva de mantenimiento?

¿Qué es una Directiva de mantenimiento?

Las directivas de mantenimiento consisten en uno o varios SHV y otros valores que le permiten definir los requisitos de
configuración del equipo cliente para los equipos compatibles con NAP que intenten conectarse a su red.

Pregunta: ¿Puede usarse solamente un SHV en una directiva de mantenimiento?

Material de lectura adicional

Tema de Ayuda: Directivas de mantenimiento


¿Qué son los Grupos de servidores de actualizaciones?

¿Qué son los Grupos de servidores de actualizaciones?

Un grupo de servidores de actualizaciones es una lista de servidores de redes restringidas que brindan recursos que
convierten a los clientes con capacidad NAP no compatibles en clientes compatibles con la directiva de mantenimiento
de cliente definida por el administrador.

Pregunta: ¿Qué servicios podría ofrecer un servidor de actualizaciones para actualizar las firmas de antivirus?

Material de lectura adicional

Tema de Ayuda: Grupos de servidores de actualizaciones


Configuración del cliente NAP

Configuración del cliente NAP

Debe recordar las siguientes instrucciones básicas al configurar clientes NAP:

1. Algunas implementaciones NAP que usan el Validador de mantenimiento de seguridad de Windows requieren
que habilite el Centro de seguridad.

2. El servicio Protección de acceso a redes es necesario al implementar NAP en los equipos cliente compatibles
con NAP.

3. Además, debe configurar los clientes de cumplimiento NAP en los equipos compatibles con NAP.

Pregunta: ¿Qué grupos de Windows cuentan con los derechos para habilitar el Centro de seguridad en Directiva de
grupo, habilitar el servicio NAP en los clientes y habilitar/deshabilitar los clientes de cumplimiento NAP?

Material de lectura adicional

Tema de Ayuda: Habilitar el Centro de seguridad en Directiva de grupo

Tema de Ayuda: Habilitar el servicio Protección de acceso a redes en los clientes

Tema de Ayuda: Configurar los Clientes de cumplimiento NAP


Demostración: Uso del Asistente para configuración de NAP para aplicar
las directivas de acceso a redes

Demostración: Uso del Asistente para configuración de NAP para aplicar las directivas de acceso
a redes

Material de lectura adicional

Tema de Ayuda: Crear directivas NAP usando un Asistente

Tema de Ayuda: Lista de comprobación: Configurar el cumplimiento NAP para DHCP


Lección 4: Supervisión y solución de problemas de NAP
Lección 4:

Supervisión y solución de problemas de NAP

Solucionar problemas y supervisar la estructura NAP es una tarea administrativa importante debido a los diferentes
niveles de tecnología y los distintos requisitos previos y experiencia para cada método de cumplimiento NAP. Los
registros de seguimiento para NAP se encuentran disponibles, pero están deshabilitados de manera predeterminada.
Estos registros se usan para dos propósitos: solucionar problemas y evaluar el mantenimiento y la seguridad de la red.
¿Qué es el seguimiento NAP?

¿Qué es el seguimiento NAP?

Se puede usar el complemento Configuración del cliente NAP para configurar el seguimiento NAP. El seguimiento
registra eventos NAP en un archivo de registro y resulta útil para la solución de problemas y el mantenimiento. También
se pueden usar los registros de seguimiento para evaluar la seguridad y el mantenimiento de la red. Se pueden
configurar tres niveles de seguimiento: Básico, avanzado y de depuración.

Debe habilitar el seguimiento NAP cuando:

Soluciona problemas NAP.

Desea evaluar el mantenimiento y la seguridad general de los equipos de su organización.

Material de lectura adicional

Tema de Ayuda y Soporte: Seguimiento NAP


Configuración del seguimiento NAP

Configuración del seguimiento NAP

Existen dos herramientas disponibles para configurar el seguimiento NAP. La consola Configuración del cliente NAP
forma parte de la interfaz de usuario de Windows y netsh es una herramienta de línea de comandos.

Para ver los archivos de registro, navegue hasta el directorio %raíz del sistema (systemroot)%\tracing\nap y abra el
registro de seguimiento particular que desea ver.

Pregunta: ¿Cuál es el comando netsh para habilitar los niveles de registro de depuración NAP?

Material de lectura adicional

Tema de Ayuda: Habilitar y deshabilitar el seguimiento NAP

Tema de Ayuda: Especificar el nivel de detalle en el registro de seguimiento NAP


Demostración: Configuración del seguimiento

Demostración: Configuración del seguimiento

Pregunta: ¿A qué grupo debe pertenecer para habilitar el seguimiento NAP?

Material de lectura adicional

Tema de Ayuda: Habilitar y deshabilitar el seguimiento NAP

Tema de Ayuda: Especificar el nivel de detalle en el registro de seguimiento NAP


Laboratorio: Configuración de NAP para DHCP y VPN

Laboratorio: Configuración de NAP para DHCP y VPN

Objetivos

Configurar NAP para los clientes DHCP

Configurar NAP para los clientes VPN

Escenario

Como el especialista en tecnología de Woodgrove Bank, necesita establecer una manera de convertir
automáticamente los equipos cliente en equipos compatibles. Lo hará usando Servidor de directivas de redes,
creando las directivas de cumplimiento de cliente y configurando un servidor NAP para comprobar el mantenimiento
actual de los equipos.
Ejercicio 1: Configuración de NAP para los clientes DHCP

Ejercicio 1: Configuración de NAP para los clientes DHCP

En este ejercicio, se configurará y probará el cumplimiento NAP para clientes DHCP.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1.

2. Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1.

3. Instalar las funciones de servidor DHCP y NPS.

4. Configurar NYC-SVR1 como un servidor de directivas de mantenimiento NAP.

5. Configurar el servicio DHCP para el cumplimiento NAP.

6. Configurar NYC-CL1 como un cliente DHCP y NAP.

7. Probar el cumplimiento NAP.

8. Apagar las máquinas virtuales y no guardar los cambios.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-SVR1 y 6822A-NYC-CL1

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-SVR1

En 6822A-NYC-SVR1, abra Administrador del servidor desde el menú Herramientas administrativas.

Tarea 3: Instalar las funciones de servidor DHCP y NPS

1. En NYC-SVR1, abra Administrador del servidor.

2. Haga clic con el botón secundario en Funciones y luego haga clic en Agregar funciones.

3. En la página Seleccionar funciones del servidor, seleccione las casillas Servidor DHCP y Servicios de
Acceso y Directivas de redes.

4. En la página Seleccionar servicios de función, seleccione Servidor de directivas de red.

5. En la página Seleccionar enlaces de conexión de red, compruebe que 10.10.0.24 esté seleccionado. Quite
la marca de verificación junto a 192.168.1.10.

6. En la página Especificar configuración del servidor DNS, compruebe que woodgrovebank.com se


encuentre en la lista de Dominio principal.

7. Escriba 10.10.0.10 en Dirección IP del servidor DNS preferido y haga clic en Validar. Compruebe que el
resultado devuelto sea Válido.

8. En la página Especificar configuración del servidor WINS IPv4, acepte la configuración predeterminada.

9. En la página Agregar o editar ámbitos DHCP, haga clic en Agregar.


10. En el cuadro de diálogo Agregar ámbito escriba Ámbito NAP junto a Nombre de ámbito. Junto a Dirección
IP inicial, escriba 10.10.0.50; junto a Dirección IP final, escriba 10.10.0.199 y junto a Máscara de subred,
escriba 255.255.0.0.

11. Seleccione la casilla Activar este ámbito y luego haga clic en Aceptar.

12. En la página Configurar el modo sin estado DHCPv6, seleccione Deshabilitar el modo sin estado
DHCPv6 para este servidor.

13. En la página Autorizar servidor DHCP, seleccione Usar credenciales actuales. Compruebe que
Woodgrovebank\administrador aparezca junto a NombredeUsuario y luego haga clic en Siguiente.

14. En la página Confirmar selecciones de instalación, haga clic en Instalar.

15. Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.

16. Cierre la ventana Administrador del servidor.

Tarea 4: Configurar NYC-SVR1 como un servidor de directivas de mantenimiento NAP

1. Abra la herramienta administrativa Servidor de directivas de red desde Menú Inicio, en Herramientas
administrativas.

2. Configure varios SHV:

1. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.

2. Configurar validador de mantenimiento del sistema. En la ficha Windows Vista, desactive todas las casillas
excepto Firewall habilitado para todas las conexiones de red.

3. Configure grupos de servidores de actualizaciones:

1. En el árbol de consola, en Protección de acceso a redes, haga clic con el botón secundario en Grupo de
servidores de actualizaciones y luego haga clic en Nuevo.

2. Cree un nuevo grupo de actualizaciones con un nombre de grupo Rem1 y agregue la dirección IP 10.10.0.10.

4. Configure las directivas de mantenimiento:

1. Expanda Directivas.

2. Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.

3. Cree una nueva directiva de mantenimiento denominada Cumple que especifique que El cliente supera todas
las comprobaciones de SHV y usa el Validador de mantenimiento de seguridad de Windows.

4. Haga clic con el botón secundario en Directivas de mantenimiento y luego haga clic en Nueva.

5. Cree una nueva directiva de mantenimiento denominada No cumple que especifique que El cliente no supera
una o más comprobaciones de SHV y usa Validador de mantenimiento de seguridad de Windows.

5. Configure una directiva de red para los equipos compatibles:

1. En el árbol de consola, en Directivas, haga clic en Directivas de red.

2. Deshabilite las dos directivas predeterminadas en Nombre de la directiva.

3. Cree una nueva Directiva de red denominada Cumple-Acceso completo.

4. En la ventana Especificar condiciones, haga clic en Agregar.

5. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directiva de mantenimiento, seleccione
Cumple y luego haga clic en Aceptar.

6. En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentre


seleccionado.

7. En la ventana Configurar métodos de autenticación, seleccione la casilla Realizar sólo comprobación de


mantenimiento del equipo. Desactive todas las demás casillas.

8. En la ventana Configurar configuración, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso
completo a redes se encuentre seleccionado.

9. En la ventana Completando la nueva directiva de red, haga clic en Finalizar para completar la configuración
de la directiva de red para los equipos cliente compatibles.

6. Configure una directiva de red para los equipos No cumple:

1. Haga clic con el botón secundario en Directivas de red y luego haga clic en Nueva.

2. Cree una nueva Directiva de red denominada No cumple-Restringido.

3. En la ventana Especificar condiciones, haga clic en Agregar.

4. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento,


seleccione No cumple y luego haga clic en Aceptar.

5. En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentre


seleccionado y haga clic en Siguiente.

Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes no
compatibles. Especifica que se les otorgará un nivel de acceso determinado por la directiva a los clientes que
cumplen con esas condiciones.

6. En la ventana Configurar métodos de autenticación, seleccione la casilla Realizar sólo comprobación de


mantenimiento del equipo. Desactive todas las demás casillas.

7. En la ventana Configurar restricciones haga clic en Siguiente.

8. En la ventana Configura opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado y
compruebe que Habilitar corrección automática de equipos cliente se encuentre seleccionado.

9. Haga clic en Siguiente y luego en Finalizar. De este modo se completa la configuración de las directivas de
red NAP. Cierre la consola Servidor de directivas de red.

Tarea 5: Configurar el servicio DHCP para el cumplimiento NAP

1. En NYC-SVR1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en DHCP.

2. En la consola Administración DHCP, expanda NYC-SVR1.woodgrovebank.com y luego IPv4.

3. Abra Propiedades para el Ámbito. En la ficha Protección de acceso a redes, compruebe que Usar perfil
de protección de acceso a redes se encuentre seleccionado y luego haga clic en Aceptar.

4. En la consola Administración DHCP, configure Opciones de ámbito.

5. En la ficha Opciones avanzadas, compruebe que se haya seleccionado Clase de usuario predeterminada
junto a Clase de usuario.

6. En Opciones disponibles, seleccione la casilla Enrutador 003, escriba 10.10.0.1 en Dirección IP,
seleccione la casilla Nombre de dominio 015 DNS, escriba Woodgrovebank.com en Valor de cadena y
luego haga clic en Aceptar. El dominio Woodgrovebank.com es una red de acceso completo asignada a los
clientes NAP compatibles.

7. En la consola Administración DHCP, configure Opciones de ámbito.

8. En la ficha Opciones avanzadas, junto a Clase de usuario, seleccione Clase de protección de acceso a
redes predeterminada.

9. Seleccione la casilla Servidores 006 DNS, escriba 10.10.0.10 en Dirección IP, seleccione la casilla Nombre
de dominio 015 DNS, escriba restringido. Woodgrovebank.com en Valor de cadena y luego haga clic en
Aceptar. El dominio restricted.woodgrovebank.com es una red de acceso restringido asignada a los clientes
NAP no compatibles.

Tarea 6: Configurar NYC-CL1 como un cliente DHCP y NAP

1. En NYC-CL1, habilite Centro de seguridad:

1. Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.
2. Escriba mmc y luego presione ENTRAR.

3. En el árbol de consola, abra Directiva de equipo local/Configuración del equipo/Plantillas


administrativas/Componentes de Windows /Centro de seguridad.

4. Haga doble clic en Activar centro de seguridad (Sólo equipos de dominio), haga clic en Habilitado y luego
en Aceptar.

5. Cierre la ventana de la consola. Cuando se le indique que guarde los cambios, haga clic en No.

2. Habilite el cliente de cumplimiento DHCP:

1. Haga clic en Inicio, en Todos los programas, luego en Accesorios y finalmente en Ejecutar.

2. Escriba napclcfg.msc y luego presione ENTRAR.

3. En el árbol de consola, haga clic en Clientes de cumplimiento.

4. Habilite Cliente de cumplimiento de cuarentena de DHCP.

5. Cierre la consola Configuración de cliente NAP.

3. Habilite e inicie el servicio Agente NAP.

1. Haga clic en Inicio, elija Todos los programas, luego haga clic en Accesorios y finalmente en Ejecutar.

2. Escriba services.msc y luego presione ENTRAR.

3. En la lista de servicios, establezca Tipo de inicio de agente de protección de acceso a redes como
Automático e inicie el servicio.

4. Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.

5. Cierre la consola Servicios.

4. Configure NYC-CL1 para la asignación de direcciones DHCP:

1. Haga clic en Inicio y luego haga clic en Panel de control.

2. Haga clic en Redes e Internet, luego en Centro de redes y recursos compartidos y finalmente en
Administrador de condiciones de red.

3. Configure las propiedades de Conexión de área local con lo siguiente:

Desactive la casilla Protocolo de Internet versión 6 (TCP/IPv6).

Establezca las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) como Obtener una dirección
IP automáticamente y Obtener una dirección de servidor DNS automáticamente.

4. Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área
local.

5. Cierre las ventanas de Conexiones de red y Centro de redes y recursos compartidos.

6. Reinicie NYC-CL1. Una vez que se reinicie el equipo, inicie sesión como Administrador usando la contraseña
Pa$$w0rd

Tarea 7: Probar el cumplimiento NAP

1. Compruebe la dirección asignada en DHCP y el Estado de cuarentena actual:

1. En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.

2. En el símbolo del sistema, escriba ipconfig /all.

3. Compruebe que el sufijo DNS específico para la conexión sea Woodgrovebank.com y que Estado de
cuarentena sea No restringido.

2. Configure la directiva Validador de mantenimiento del sistema para que requiera el software antivirus:

1. En NYC-SVR1, en la consola Servidor de directivas de red, abra NPS (Local), luego Protección de acceso a
redes y finalmente Validadores de mantenimiento del sistema.

2. Configure Validador de mantenimiento de seguridad de Windows de manera tal que Protección antivirus esté
establecido en Aplicación antivirus activada.

3. Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador de
mantenimiento de seguridad de Windows.

3. Compruebe la red restringida en NYC-CL1:

1. En NYC-CL1, abra un símbolo del sistema administrativo usando el comando Ejecutar como administrador.

2. En el símbolo del sistema, escriba ipconfig /release.

3. En el símbolo del sistema, escriba ipconfig /renew.

4. Compruebe que el sufijo DNS específico para la conexión en este momento sea
restringido.woodgrovebank.com.

5. Cierre la ventana del comando y haga doble clic en el icono Protección de acceso a redes en la bandeja del
sistema. Observe que le indica que El equipo no cumple con los requerimientos de la red.

6. Haga clic en Cerrar.

Tarea 8: Apagar las máquinas virtuales sin guardar los cambios

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Para el Ejercicio 2, inicie 6822A-NYC-DC1 y 6822A-NYC-CL1.

4. Inicie sesión en cada una de ellas como WoodgroveBank\Administrador usando la contraseña Pa$$w0rd.
Ejercicio 2: Configuración de NAP para los clientes VPN

Ejercicio 2: Configuración de NAP para los clientes VPN

En este ejercicio, configurará NAP para clientes VPN. Este ejercicio usa el Agente de mantenimiento de seguridad de
Windows y el Validador de mantenimiento de seguridad de Windows para solicitar que los equipos cliente cuenten con
Firewall de Windows habilitado y con una aplicación de antivirus instalada.

Se crearán dos directivas de red en este ejercicio. Una directiva compatible otorga acceso de red completo a un
segmento de red intranet. Una directiva no compatible demuestra la restricción de redes al aplicar filtros IP a la interfaz
de túnel VPN que solamente permite el acceso de clientes a un único servidor de actualizaciones.

Las principales tareas se realizarán como se detalla a continuación:

1. Configurar NYC-DC1 como una CA raíz de la empresa.

2. Configurar NYC-SVR1 con NPS funcionando como servidor de directivas de mantenimiento.

3. Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como servidor VPN.

4. Permitir el rastreo en NYC-SVR1.

5. Configurar NYC-CL1 como un cliente VPN y NAP.

6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Configurar NYC-DC1 como una CA raíz de la empresa

1. En NYC-DC1, haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Administrador del
servidor.

2. En Resumen de funciones, haga clic en Agregar funciones.

3. En la página Antes de comenzar, haga clic en Siguiente.

4. Seleccione la casilla Servicios de Certificate Server de Active Directory y configure el asistente con lo
siguiente:

1. En la página Especificar tipo de instalación, seleccione Empresa.

2. En la página Especificar tipo de CA, especifique el nombre CA raíz.

3. En la página Confirmar selecciones de instalación, haga clic en Instalar.

5. En la página Resultados de instalación, compruebe que la instalación se haya realizado correctamente y


luego haga clic en Cerrar.

6. Cierre la ventana Administrador del servidor.

7. Desde el menú Herramientas administrativas, abra la herramienta de administración Certification Authority.

8. Haga clic con el botón secundario en Plantillas de certificados y luego elija Administrar en el menú
contextual.

9. Cambie la seguridad en la plantilla Equipo para que otorgue a los Usuarios autenticados el permiso
Inscribir.

10. Cierre la Plantilla de certificados y las consolas de administración certsrv.

Tarea 2: Configurar NYC-SVR1 con NPS funcionando como un servidor de directivas de mantenimiento

1. Inicie 6822A-NYC-SVR1 y luego inicie sesión como Woodgrovebank\administrador usando la contraseña


Pa$$w0rd.

2. Obtenga un certificado de equipo en NYC-SVR1 para la autenticación PEAP del lado del servidor:

1. Cree una consola MMC personalizada que incluya el complemento Certificados para Cuenta del equipo.
2. En el árbol de consola, haga doble clic en Certificados, haga clic con el botón secundario en Personal, elija
Todas las tareas y luego haga clic en Solicitar nuevo certificado.

3. Se abrirá el cuadro de diálogo Inscripción del certificado. Haga clic en Siguiente.

4. Seleccione la casilla Equipo y luego haga clic en Inscribir.

5. Compruebe el estado de la instalación de certificados como Correcto y luego haga clic en Finalizar.

6. Cierre la ventana Consola1.

7. Haga clic en No cuando le indiquen que guarde la configuración de la consola.

3. Instale la función del servidor NPS:

1. En NYC-SVR1, haga clic en Inicio, en Herramientas administrativas y luego en Administrador del


servidor.

2. Use Agregar funciones para instalar Servicios de acceso y Directiva de redes.

3. Compruebe que la instalación se haya realizado correctamente y luego haga clic en Cerrar.

4. Cierre la ventana Administrador del servidor.

4. Configure NPS como un servidor de directivas de mantenimiento NAP:

1. Haga clic en Inicio, luego en Ejecutar, escriba nps.msc y finalmente presione Entrar.

2. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.

3. En el panel central, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de Windows.

4. Configure las propiedades del validador de mantenimiento de seguridad Windows de manera tal que todas las
casillas estén desactivadas excepto Firewall habilitado para todas las conexiones de red.

5. Haga clic en Aceptar para cerrar el cuadro de diálogo Validador de mantenimiento de seguridad de
Windows y luego haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del validador de
mantenimiento de seguridad Windows.

5. Configure las directivas de mantenimiento:

1. Expanda Directivas.

2. Cree una nueva directiva de mantenimiento denominada Cumple.

3. En Comprobaciones de SHV del cliente, compruebe que la casilla El cliente supera todas las
comprobaciones de SHV esté seleccionada.

4. En SHVs usados en esta directiva de mantenimiento, seleccione la casilla Validador de mantenimiento


de seguridad de Windows.

5. Haga clic en Aceptar.

6. Cree una nueva directiva de mantenimiento denominada No cumple.

7. En Comprobaciones de SHV del cliente, seleccione El cliente no supera una o más comprobaciones de
SHV.

8. En SHVs usadas en esta directiva de mantenimiento, seleccione la casilla Validador de mantenimiento


de seguridad de Windows.

9. Haga clic en Aceptar.

6. Configure directivas de red para equipos compatibles:

1. Expanda Directivas.

2. Haga clic en Directivas de red.

3. Deshabilite las dos directivas predeterminadas en Nombre de la directiva.

4. Cree una nueva directiva de red denominada Cumple-Acceso completo.


5. En la ventana Especificar condiciones, haga clic en Agregar.

6. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.

7. En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione


Cumple.

8. En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentre


seleccionado.

9. En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Compruebe que Permitir acceso
completo a redes se encuentre seleccionado.

10. En la ventana Completando nueva directiva de red, haga clic en Finalizar.

7. Configure directivas de red para equipos no compatibles:

1. Cree una nueva directiva de red denominada No cumple-Restringido.

2. En la ventana Especificar condiciones, haga clic en Agregar.

3. En el cuadro de diálogo Seleccionar condición, haga doble clic en Directivas de mantenimiento.

4. En el cuadro de diálogo Directivas de mantenimiento, en Directivas de mantenimiento, seleccione No


cumple y luego haga clic en Aceptar.

5. En la ventana Especificar condiciones, compruebe que Directiva de mantenimiento se encuentre


especificado en Condiciones con el valor No cumple y luego haga clic en Siguiente.

6. En la ventana Especificar permiso de acceso, compruebe que Acceso otorgado se encuentre


seleccionado.

Importante: Un valor Acceso otorgado no significa que se otorga acceso completo a la red a los clientes no
compatibles. Especifica que la directiva debe continuar evaluando clientes que cumplan con estas condiciones.

7. En la ventana Configurar opciones, haga clic en Cumplimiento NAP. Seleccione Permitir acceso limitado
y luego Habilitar corrección automática de equipos cliente.

8. En la ventana Configurar opciones, haga clic en Filtros IP.

9. En IPv4, cree un nuevo filtro de entrada para Red de destino con los siguientes valores:

Dirección IP: 10.10.0.10

Máscara de subred: 255.255.255.255

Este paso garantiza que el tráfico de los clientes no compatibles pueda alcanzar solamente a DC1.

10. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar Filtro IP y luego seleccione Permitir solo los
paquetes listados abajo en el cuadro de diálogo Filtros de entrada.

11. En IPv4, cree un nuevo filtro de salida para los siguientes valores de red de origen:

Dirección IP: 10.10.0.10

Máscara de subred: 255.255.255.255

12. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar filtro IP y luego seleccione Permitir solo los
paquetes listados abajo el cuadro de diálogo Filtros de salida. Esto garantiza el envío solamente de tráfico
de DC1 a clientes no compatibles.

13. En la ventana Completando nueva directiva de red, haga clic en Finalizar.

8. Configure directivas de solicitud de conexión:

1. Haga clic en Directivas de solicitud de conexión.

2. Deshabilite la directiva predeterminada Solicitud de conexión que se encuentra en Nombre de directiva.

3. Cree una nueva directiva Solicitud de conexión denominada Conexiones VPN.


4. En Tipo de servidor de acceso a redes, seleccione Servidor de acceso remoto (VPN-Acceso
telefónico).

5. En la ventana Especificar condiciones, haga clic en Agregar.

6. En la ventana Seleccionar condición, haga doble clic en Tipo de túnel, seleccione PPTP y L2TP y luego
haga clic en Aceptar.

7. En la ventana Especificar reenvío de solicitud de conexión, compruebe que Autenticar solicitudes en


este servidor se encuentre seleccionado.

8. En la ventana Especificar métodos de autenticación, seleccione Reemplazar configuración de


autenticación de directiva de red.

9. En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de
autenticación, haga clic en Microsoft: EAP protegido (PEAP).

10. En Tipos de EAP, haga clic en Agregar. En el cuadro de diálogo Agregar EAP, en Métodos de
autenticación, haga clic en Microsoft: contraseña segura (EAP-MSCHAP v2).

11. En Tipos de EAP, haga clic en Microsoft: EAP protegido (PEAP) y luego haga clic en Editar.

12. Compruebe que Habilitar comprobaciones de cuarentena esté seleccionado y luego haga clic en Aceptar.

13. Haga clic en Siguiente dos veces y luego haga clic en Finalizar.

Tarea 3: Configurar NYC-SVR1 con el servicio Enrutamiento y acceso remoto establecido como un servidor VPN

1. Haga clic en Inicio, luego en Ejecutar, escriba rrasmgmt.msc y finalmente presione Entrar.

2. En la consola de administración Enrutamiento y acceso remoto, configure y habilite Enrutamiento y acceso


remoto con la función Acceso remoto (acceso telefónico o VPN).

3. Seleccione la casilla VPN y luego haga clic en Siguiente.

4. Haga clic en la interfaz de red con una dirección IP 192.168.1.10. Desactive la casilla Habilitar seguridad en
la interfaz seleccionada configurando filtros de paquetes estáticos y luego haga clic en Siguiente. Esto
garantiza que NYC-SVR1 podrá rastrear NYC-DC1 cuando se adjunta a la subred Internet sin que sea necesario
configurar filtros de paquetes adicionales para el tráfico ICMP.

5. En la página Asignación de dirección IP, seleccione De un intervalo de direcciones especificado y en la


página Asignación de intervalo de direcciones, especifique un intervalo de 10.10.0.100 a 10.10.0.110.

6. En la página Administrar servidores de acceso remoto múltiples, seleccione No, usar Enrutamiento y
acceso remoto para autenticar solicitudes de conexión.

7. Haga clic en Siguiente y luego en Finalizar.

8. Haga clic en Aceptar y espere que el servicio Enrutamiento y acceso remoto se inicie.

9. Abra la consola Servidor de directivas de red desde el menú Herramientas administrativas, expanda
Directivas, seleccione Directivas de solicitud de conexión y luego deshabilite Directiva del servicio de
enrutamiento y acceso remoto de Microsoft haciendo doble clic con el botón secundario en la directiva y
seleccionando Deshabilitar.

10. Cierre la consola de administración Servidor de directiva de red.

Tarea 4: Permitir el rastreo en NYC-SVR1

1. Haga clic en Inicio, en Herramientas administrativas y luego haga clic en Firewall de Windows con
seguridad avanzada.

2. Cree una regla de entrada personalizada para Todos los programas con el tipo de protocolo ICMPv4 y tipo
ICMP de Solicitud de eco para las opciones de ámbito predeterminadas.

3. En la ventana Acción, compruebe que Permitir la conexión se encuentre seleccionado y luego haga clic en
Siguiente.

4. Haga clic en Siguiente para aceptar el perfil predeterminado.


5. En la ventana Nombre, en Nombre, escriba Solicitud de eco ICMPv4 y luego haga clic en Finalizar.

Tarea 5: Configurar NYC-CL1 como un cliente VPN y NAP

1. Configure NYC-CL1 de manera tal que Centro de seguridad esté siempre habilitado:

1. Abra Editor de objeto de directiva de grupo local usando el comando Ejecutar con gpedit.msc.

2. En el árbol de consola, abra Directiva de equipo local/Configuración del equipo/Plantillas


administrativas/Componentes de Windows /Centro de seguridad.

3. Haga doble clic en Activar centro de seguridad (Solamente equipos de dominio), haga clic en Habilitado
y luego en Aceptar.

4. Cierre la consola Editor de objeto de directiva de grupo local.

2. Habilite el cliente de cumplimiento de cuarentena para el acceso remoto:

1. Inicie la herramienta Configuración cliente NAP usando el comando Ejecutar con napclcfg.msc.

2. Habilite Cliente de cumplimiento de cuarentena para el acceso remoto.

3. Cierre la ventana Configuración de cliente NAP.

3. Habilite e inicie el servicio Agente NAP.

1. Abra la consola Servicios usando services.msc en el comando Ejecutar.

2. En la lista Servicios, haga doble clic en Agente de protección de acceso a redes.

3. Cambie el tipo de inicio a Automático y luego haga clic en Inicio.

4. Espere que se inicie el servicio Agente NAP y luego haga clic en Aceptar.

5. Cierre la consola Servicios.

4. Configure NYC-CL1 para el segmento de red de Internet:

1. Configure Propiedades de conexión de área local con Protocolo de Internet versión 4 (TCP/IPv4)
establecido de la siguiente manera:

Dirección IP: 192.168.1.20

Máscara de subred: 255.255.255.0

Quite el valor 10.10.0.10 de Servidor DNS preferido

2. Haga clic en Aceptar y luego en Cerrar para cerrar el cuadro de diálogo Propiedades de conexión de área
local.

3. Cierre la ventana Conexiones de red.

5. Compruebe la conectividad de red para NYC-CL1:

1. Abra un símbolo del sistema y escriba ping 192.168.1.10.

2. Compruebe que la respuesta sea “Respuesta desde 192.168. 1.10”.

3. Cierre la ventana de comandos.

6. Configure una conexión VPN:

1. Usando Centro de redes y recursos compartido, cree un nuevo acceso directo Conectarse con un lugar de
trabajo con la opción Usar mi conexión de Internet (VPN).

2. Haga clic en Estableceré una conexión de Internet más tarde.

3. En la página Escriba la dirección de Internet a la que desea conectarse, junto a Dirección de Internet,
escriba 192.168. 1.10. Junto a Nombre de destino, escriba Woodgrovebank. Seleccione la casilla Permitir
que otras personas usen esta conexión y luego haga clic en Siguiente.
4. En la página Escriba su nombre de usuario y contraseña, escriba administrador junto a Nombre de
usuario y escriba la contraseña para la cuenta del administrador junto a Contraseña. Seleccione la casilla
Recordar esta contraseña, escriba Woodgrovebank junto a Dominio (opcional) y luego haga clic en
Crear.

5. En la ventana Centro de redes y recursos compartidos, haga clic en Administrar conexiones de red.

6. En Red privada virtual, haga clic con el botón secundario en la conexión Contoso, haga clic en Propiedades
y luego en la ficha Seguridad.

7. Seleccione Opciones avanzadas (configuración personalizada) y luego haga clic en Configuración.

8. En Seguridad de inicio de sesión, seleccione Usar protocolo de autenticación extensible (EAP) y luego
elija EAP protegido (PEAP) (cifrado habilitado).

9. Haga clic en Propiedades.

10. Seleccione la casilla Validar certificado del servidor. Desactive la casilla Conectarse a estos servidores y
luego seleccione Contraseña segura (EAP-MSCHAP v2) en Seleccionar método de autenticación.
Desactive la casilla Habilitar reconexión rápida y luego seleccione la casilla Habilitar comprobaciones de
cuarentena.

11. Haga clic en Aceptar tres veces para aceptar estos valores.

7. Pruebe la conexión VPN:

1. En la ventana Conexiones de red, use el objeto de conexión Woodgrovebank para iniciar la conexión VPN.

2. Compruebe que se escriban las credenciales de la cuenta de administrador y que la casilla Guardar este
nombre de usuario y contraseña para uso futuro se encuentre seleccionado y luego haga clic en Aceptar.

3. Aparece una ventana Validar un certificado de servidor la primera vez que se usa esta conexión VPN. Haga
clic en Ver certificado de servidor y compruebe que Información de certificado determine que el
certificado se emitió para NYC-SVR1.Woodgrovebank.com mediante CA raíz. Haga clic en Aceptar para
cerrar la ventana Certificado y luego haga clic nuevamente en Aceptar.

4. Espere que se realice la conexión VPN. Debido a que NYC-CL1 es compatible, debería contar con acceso
ilimitado a la subred intranet.

5. Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración.

6. Visualice la configuración IP. Estado de cuarentena del sistema debería ser No restringido.

El cliente ahora cumple con el requisito para la conectividad completa VPN.

7. Desconéctese del VPN Woodgrovebank.

8. Configure Validador de mantenimiento de seguridad de Windows para solicitar una aplicación de antivirus:

1. En NYC-SVR1, abra Servidor de directiva de red.

2. Expanda Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del sistema.

3. Configure Validador de mantenimiento de seguridad de Windows para solicitar protección antivirus


seleccionado la casilla junto a Aplicación antivirus activada.

4. Haga clic en Aceptar y luego en Aceptar nuevamente para cerrar la ventana Propiedades del validador de
mantenimiento de seguridad de Windows.

9. Compruebe que se ubique al cliente en la red restringida:

1. En NYC-CL1, en la ventana Conexiones de red, haga clic con el botón secundario en la conexión
Woodgrovebank y luego haga clic en Conectar.

2. Espere que se realice la conexión VPN. Es posible que vea un mensaje en el área de notificación que indique
que el equipo no cumple con los requisitos de mantenimiento. Aparece este mensaje debido a que el software
antivirus no se ha instalado.

3. Abra un símbolo del sistema y escriba ipconfig /todo para ver la configuración IP. Estado de cuarentena del
sistema debería ser Restringido.
El cliente no cumple con los requisitos para la red y por ende, se lo ubicará en la red restringida.

Intente rastrear a 10.10.0.24. Esto debe llevarse a cabo incorrectamente.

Intente rastrear a 10.10.0.10. Este es el único servidor al que la directiva permite el acceso.

4. Desconéctese del VPN Woodgrovebank.

Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Cierre el Iniciador de laboratorio de 6822A.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuáles son las tres configuraciones principales de cliente que deben establecerse para la mayoría de las
implementaciones NAP?

2. Desea evaluar el mantenimiento y la seguridad general de la red NAP aplicada. ¿Qué debe hacer para
comenzar a registrar los eventos NAP?

Procedimientos recomendados

Tenga en cuenta los siguientes procedimientos recomendados al implementar NAP:

Use métodos de cumplimiento seguros (IPsec, 802.1x y VPN). Los métodos de cumplimiento seguros brindan
la implementación NAP más eficaz y segura.

No confíe en NAP para brindar seguridad a una red frente a los usuarios malintencionados. NAP está diseñada
para ayudar a los administradores a controlar el mantenimiento de los equipos de la red que, a su vez, ayuda a
mantener la integridad general de la red. NAP no evita que un usuario autorizado con un equipo compatible
descargue un programa malintencionado en la red o deshabilite el agente NAP.

Use directivas NAP consistentes en toda la jerarquía del sitio para minimizar las confusiones. La configuración
incorrecta de una directiva NAP puede provocar que clientes que deben estar restringidos obtengan acceso a la
red o que los clientes válidos sean restringidos por error. Cuánto más complejo sea el diseño de su directiva
NAP, mayor será el riesgo de establecer una configuración incorrecta.

No confíe en NAP como un mecanismo de cumplimiento instantáneo o en tiempo real. Existen demoras
inherentes al mecanismo de cumplimiento NAP. Aunque NAP ayuda a que los equipos continúen siendo
compatibles en el largo plazo, las demoras frecuentes de cumplimiento pueden llevar varias horas o más
debido a varios factores, incluyendo los valores de diversos parámetros de configuración.

Herramientas

Herramienta Usar para Dónde encontrarla

Servicios Habilitar y configurar el servicio NAP en los equipos Haga clic en Inicio, luego en Panel de control,
cliente. luego en Sistema y mantenimiento, haga clic en
Herramientas administrativas y finalmente
Herramienta Usar para Dónde encontrarla

haga doble clic en Services.

Netsh nap Al usar netsh, puede crear scripts para establecer Abra una ventana de comandos con derechos
automáticamente un conjunto de valores de Firewall administrativos y escriba netsh nap. Puede
de Windows con seguridad avanzada, crear reglas, escribir ayuda para obtener una lista
supervisar las conexiones y mostrar la configuración completa de los comandos disponibles.
y el estado de Firewall de Windows con seguridad
avanzada.

Directiva de Algunas implementaciones NAP que usan el Habilite el valor Activar el Centro de
grupo Validador de mantenimiento de seguridad de seguridad (sólo equipos de dominio) en las
Windows requieren que el Centro de seguridad esté secciones Configuración del equipo, Plantillas
habilitado. administrativas, Componentes de Windows y
Centro de seguridad de Directiva de grupo.

Configurar Se usa para crear directivas de mantenimiento, Abra la consola NPS (Local). En
NAP con un directivas de solicitud de conexión y Protección de Introducción y Configuración estándar,
asistente acceso a redes (NAP) con Servidor de directivas de seleccione Servidor de directivas de
redes. Protección de acceso a redes (NAP). El
texto y los vínculos debajo del texto
cambiarán para mostrar su selección.

Haga clic en Configurar NAP usando un


asistente.
Módulo 9: Configuración de IPsec

Module 9

Configuración de IPsec
El Protocolo de seguridad de Internet (IPsec) es un marco de estándares abiertos para proteger las comunicaciones a
través de redes IP mediante servicios de seguridad criptográficos. IPsec es compatible con la autenticación del
mismo nivel de red, autenticación de orígenes de los datos, integridad de datos, confidencialidad de datos (cifrado) y
protección de reproducción. La implementación de IPSec de Microsoft se basa en estándares desarrollados por el
Grupo de trabajo de ingeniería de Internet (IETF).

IPsec es compatible con los siguientes sistemas operativos: Windows Vista™, Windows Server® 2008, Windows
Server® 2003, Microsoft Windows XP y Windows 2000. Además, está integrado con el servicio de directorio de Active
Directory®. Se pueden asignar directivas IPsec mediante Directiva de grupo, lo que permite que los valores de IPSec
se configuren a nivel de dominio, del sitio o de la unidad organizativa (OU).

Lección 1: Descripción general de IPsec


Lección 2: Configuración de reglas de seguridad de conexión
Lección 3: Configuración del cumplimiento NAP para IPsec
Laboratorio: Configuración del cumplimiento NAP para IPsec
Lección 1: Descripción general de IPsec

Lección 1:

Descripción general de IPsec

IPsec es un conjunto de protocolos que ayuda a proteger datos a través de una red usando servicios de seguridad y
certificados digitales con claves públicas y privadas. Un certificado digital asigna una clave pública a una persona, una
empresa o un sitio web.

Debido a su diseño, IPsec ayuda a brindar una seguridad mucho mayor que los métodos de protección anteriores. Los
administradores de red que lo usan no necesitan configurar la seguridad para programas individuales.
Beneficios de IPsec

Beneficios de IPsec

Por lo general, se usa IPsec para lograr confidencialidad, integridad y autenticación en el transporte de datos a través
de canales no seguros. Si bien el propósito original era asegurar el tráfico a través de redes públicas, sus
implementaciones con frecuencia se usan para aumentar la seguridad de redes privadas, ya que las organizaciones no
siempre pueden saber con certeza si los puntos débiles en sus redes privadas son susceptibles a la explotación. Si se
lo implementa correctamente, IPsec ofrece un canal privado para enviar e intercambiar datos vulnerables, ya sea
correo electrónico, tráfico del Protocolo de transferencia de archivos (FTP), fuentes de noticias, datos del asociado y
de la cadena de suministro, registros médicos o cualquier otro tipo de datos basados en TCP/IP.

IPsec presenta los siguientes beneficios:

Ofrece autenticación mutua antes y durante las comunicaciones

Fuerza a ambas partes a identificarse durante el proceso de comunicación

Habilita la confidencialidad a través del cifrado del tráfico IP y la autenticación digital de los paquetes

IPsec tiene dos modos:

Carga de seguridad encapsuladora (ESP). Este modo cifra datos a través de uno de varios algoritmos
disponibles.

Encabezado de autenticación (AH). Este modo firma el tráfico pero no lo cifra.

Material de lectura adicional

IPsec
Usos recomendados de IPsec

Usos recomendados de IPsec

Algunos entornos de red son adecuados para usar IPsec como una solución de seguridad, mientras que otro no. Se
recomienda IPsec para los siguientes usos:

Filtrado de paquetes

Asegurar el tráfico host a host en rutas de acceso específicas

Asegurar el tráfico a los servidores

Protocolo de túnel de capa dos (L2TP)/IPsec para conexiones VPN

Tunelización de sitio a sitio (puerta de enlace a puerta de enlace)

Aplicación de redes lógicas (aislamiento de servidor/dominio)

No se recomienda IPsec para los siguientes usos:

Asegurar la comunicación entre los miembros del dominio y sus controladores de dominio

Asegurar todo el tráfico de red

Material de lectura adicional

Overview of IPsec Deployment (Descripción general de la implementación de IPsec)

Biblioteca técnica de Windows Server 2008


Herramientas usadas para configurar IPsec

Herramientas usadas para configurar IPsec

Existen varias maneras de configurar el Firewall de Windows y la configuración y opciones de IPsec, incluyendo lo
siguiente:

Usando el complemento Microsoft Management Console (MMC) de Firewall de Windows con seguridad
avanzada

Usando el complemento MMC de Directiva de seguridad IP

Usando comandos Netsh

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada
¿Qué son las reglas de seguridad de conexión?

¿Qué son las reglas de seguridad de conexión?

Una regla de seguridad de conexión fuerza la autenticación entre dos equipos del mismo nivel antes de que puedan
establecer una conexión y transmitir información segura. El Firewall de Windows con seguridad avanzada usa IPsec
para aplicar estas reglas.

Las reglas de firewall permiten el tráfico a través del firewall pero no lo aseguran. Para asegurar el tráfico con IPsec, se
pueden crear reglas de Conexión de equipos. Sin embargo, al crear una regla de seguridad de conexión, no se
permite el tráfico a través del firewall. Para ello debe crearse una regla de firewall, si el comportamiento
predeterminado del firewall no permite el tráfico. Las reglas de seguridad de conexión no se aplican a programas y
servicios. Se aplican entre los equipos que conforman los dos extremos.

Material de lectura adicional

Introduction to Windows Firewall with Advanced Security (Introducción a Firewall de Windows con seguridad
avanzada)

Tema de Ayuda Firewall de Windows con seguridad avanzada: Reglas de seguridad de conexión
Demostración: Configuración general de IPsec

Demostración: Configuración general de IPsec


Lección 2: Configuración de reglas de seguridad de conexión

Lección 2:

Configuración de reglas de seguridad de conexión

Se pueden usar Reglas de seguridad de conexión para establecer la configuración de IPsec para conexiones
específicas entre este equipo y otros. El Firewall de Windows con seguridad avanzada usa la regla para evaluar el
tráfico de red y luego bloquea o permite mensajes en base a los criterios establecidos en la regla. En algunos casos,
el Firewall de Windows con seguridad avanzada bloqueará la comunicación. Si se establece la configuración que
requiere seguridad para una conexión (en cualquier dirección) y ninguno de los dos equipos puede autenticar al otro, lo
conexión se bloqueará.
Elección de un tipo de regla de seguridad de conexión

Elección de un tipo de regla de seguridad de conexión

Se puede usar el Asistente para nueva regla de seguridad de conexión para crear reglas para la manera en que el
Firewall de Windows con seguridad avanzada autentica los equipos y usuarios que coinciden con los criterios de la
regla. El Firewall de Windows con seguridad avanzada usa IPsec para proteger el tráfico usando estas reglas.

El asistente brinda cuatro reglas predefinidas y también se puede crear una regla personalizada que se puede
configurar de manera tal que responda a sus necesidades de seguridad.

Aislamiento

Exención de autenticación

Servidor a servidor

Túnel

Personalizada

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Elección de un tipo de regla de seguridad de
conexión
¿Qué son los extremos?

¿Qué son los extremos?

Los extremos del equipo son los equipos o el grupo de equipos que forman interlocutores para la conexión.

El modo de túnel IPsec protege todo un paquete IP tratándolo como una carga AH o ESP. Con el modo de túnel, todo
el paquete IP se encapsula con un encabezado AH o ESP y un encabezado IP adicional. Las direcciones IP del
encabezado IP externo son los extremos del túnel y las direcciones IP del encabezado IP encapsulado son las
direcciones de origen y de destino finales.

ESP cifra paquetes y aplica un nuevo encabezado no cifrado para facilitar el enrutamiento. A pesar de brindar cifrado,
ESP no garantiza la autenticidad de los datos del encabezado.

ESP funciona en dos modos, tal como lo determinan la funcionalidad y la capacidad requeridas de los hosts y
enrutadores compatibles con IPsec:

Modo de transporte

Modo de túnel

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Extremos del equipo

Tema de Ayuda Firewall de Windows con seguridad avanzada: Especificar extremos de túnel
Elección de requisitos de autenticación

Elección de requisitos de autenticación

Mientras se usa el Asistente para nueva regla de seguridad de conexión para crear una nueva regla, se puede usar la
página del asistente Requisitos de autenticación para especificar cómo se aplica la autenticación a las conexiones
entrantes y salientes. Si se solicita autenticación, se habilitarán las comunicaciones cuando se produzca un error de
autenticación. Si se requiere autenticación, la conexión se anulará si se produce un error de autenticación.

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Requisitos de autenticación


Métodos de autenticación

Métodos de autenticación

El Asistente para nueva regla de seguridad de conexión tiene una página donde se puede establecer el Método de
autenticación para configurar las credenciales de autenticación usadas. Si ya existe la regla, se puede usar la ficha
Autenticación del cuadro de diálogo Propiedades de seguridad de conexión de la regla que se desea editar.

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Métodos de autenticación


Determinación de un perfil de uso

Determinación de un perfil de uso

Un perfil de firewall es una manera de agrupar valores, tales como las reglas de seguridad de conexión y firewall, que
se aplican al equipo dependiendo de dónde está conectado el equipo. En equipos que ejecutan la versión actual de
Windows, existen tres perfiles para el Firewall de Windows con seguridad avanzada. Sólo se aplica un perfil por vez.

La siguiente tabla describe los perfiles de uso disponibles:

Perfil Descripción

Dominio Se aplica cuando un equipo está conectado a una red en la que reside la cuenta de dominio del equipo.

Privado Se aplica cuando un equipo está conectado a una red en la que no reside la cuenta de dominio del
equipo, tal como una red doméstica. La configuración privada debe ser más restrictiva que la
configuración del perfil de dominio.

Público Se aplica cuando un equipo está conectado a un dominio a través de una red pública, tales como las
disponibles en aeropuertos o cafeterías. La configuración del perfil público debe ser la más restrictiva, ya
que el equipo está conectado a una red pública donde la seguridad no puede controlarse con tanta
precisión como dentro de un entorno de TI.

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Propiedades de Firewall: Perfiles

Firewall de Windows con seguridad avanzada


Demostración: Configuración de una regla de seguridad de conexión

Demostración: Configuración de una regla de seguridad de conexión


Lección 3: Configuración del cumplimiento NAP para IPsec

Lección 3:

Configuración del cumplimiento NAP para IPsec

El cumplimiento NAP para las directivas IPsec para el Firewall de Windows se aplica con un servidor de certificados de
mantenimiento, un servidor de Autoridad de registro de mantenimiento (HRA), un equipo que ejecuta Servidor de
directivas de redes (NPS) y un cliente de cumplimiento IPsec. El servidor de certificados de mantenimiento emite
certificados X.509 para los clientes NAP cuando se determina que son compatibles. Luego, se usan los certificados
para autenticar los clientes NAP cuando inician las comunicaciones con IPsec con otros clientes NAP en una intranet.

El cumplimiento IPsec limita la comunicación de su red a clientes compatibles y brinda la implementación NAP de
mayor seguridad disponible. Debido a que este método de cumplimiento usa IPsec, se pueden definir los requisitos
para asegurar comunicaciones en base a números de puerto por dirección IP o por TCP/UDP.
Cumplimiento IPsec para redes lógicas

Cumplimiento IPsec para redes lógicas

El cumplimiento IPsec divide una red física en tres redes lógicas. Un equipo es miembro de sólo una red lógica en
cualquier momento. Las redes lógicas se definen en términos de los equipos que tienen certificados de mantenimiento
y los equipos que requieren autenticación IPsec con certificados de mantenimiento para intentos entrantes de
comunicación. Las redes lógicas permiten el acceso y la actualización limitados de la red y brindan equipos
compatibles con protección desde equipos no compatibles.

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec
Procesos de cumplimiento NAP para IPsec

Procesos de cumplimiento NAP para IPsec

Para obtener un certificado de mantenimiento y convertirse en un miembro de red seguro, un cliente NAP que usa el
cumplimiento IPsec se inicia en la red y realiza el proceso de cumplimiento NAP para IPsec.

El cliente NAP quita todo certificado de mantenimiento existente, si es necesario, y agrega el certificado de
mantenimiento recientemente emitido al almacén de certificados de su equipo. El cliente de cumplimiento NAP para
IPsec establece la configuración IPsec para autenticarse usando el certificado de mantenimiento para las
comunicaciones protegidas por IPsec y configura el firewall basado en host para permitir las comunicaciones entrantes
de cualquier sistema del mismo nivel que use un certificado de mantenimiento para la autenticación IPsec. Ahora el
cliente NAP pertenece a la red segura.

Si el cliente NAP no es compatible, no tendrá un certificado de mantenimiento y no podrá iniciar la comunicación con
equipos en la red segura. El cliente NAP lleva a cabo un proceso de actualización para convertirse en un miembro de la
red segura.

Material de lectura adicional

Network Access Protection Platform Architecture (Arquitectura de la plataforma de protección de acceso a


redes)

IPsec
Requisitos para implementar el cumplimiento NAP para IPsec

Requisitos para implementar el cumplimiento NAP para IPsec

Para implementar NAP con IPsec y HRA, se debe configurar lo siguiente:

En NPS, configure la directiva de solicitud de conexión, la directiva de red y la directiva de mantenimiento NAP.
Se pueden configurar estas directivas por separado usando la consola NPS o el nuevo Asistente para
protección de acceso a redes.

Habilite el cliente de cumplimiento NAP para IPsec y el servicio NAP en equipos cliente compatibles con NAP.

Instale HRA en el equipo local o en un equipo remoto.

Instale y configure Servicios de certificados de Active Directory (AD CS) y plantillas de certificado.

Configure Directiva de grupo y establezca otras configuraciones que requiera su implementación.

Configure el Validador de mantenimiento de seguridad de Windows (WSHV) o instale y configure otros agentes
de mantenimiento del sistema y validadores de mantenimiento del sistema (SHV), dependiendo de su
implementación NAP.

Si el equipo local no tiene HRA instalado, también será necesario configurar lo siguiente:

Instale NPS en el equipo que ejecuta HRA.

Configure NPS en el servidor NPS HRA remoto como un proxy RADIUS para reenviar solicitudes de conexión
al servidor NPS local.

Material de lectura adicional

Tema de Ayuda de Servidor de directivas de redes: Cumplimiento NAP para comunicaciones IPsec
Laboratorio: Configuración del cumplimiento NAP para IPsec

Laboratorio: Configuración del cumplimiento NAP para IPsec

Objetivos:

Preparar el entorno de red para el cumplimiento NAP para IPsec

Configurar y probar el cumplimiento IPsec

Escenario

Debido a incidentes recientes relacionados con la seguridad en la red interna, Woodgrove Bank desea implementar
directivas IPsec para mitigar los riesgos de seguridad a través del cifrado y usar la Protección de acceso a redes para
comprobar el mantenimiento de las partes de la comunicación antes transmitir datos. El Administrador de servicios de
información (IS) de Woodgrove Bank desea que configure un entorno de cumplimiento Protección de acceso a redes
para IPsec a fin de mitigar cualquier problema relacionado con la seguridad de red en el futuro.
Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP para
IPsec

Ejercicio 1: Preparación del entorno de red para el cumplimiento NAP para IPsec

Descripción general del ejercicio

En este ejercicio, se preparará el entorno de cumplimiento NAP para IPsec.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-CL1 y 6822A-NYC-CL2.

2. Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1.

3. Instalar las funciones del servidor NPS, HRA y CA.

4. Configurar HRA con permisos.

5. Configurar las propiedades de CA en HRA.

6. Configurar NPS como un servidor de directivas de mantenimiento NAP.

7. Configurar validadores de mantenimiento del sistema.

8. Configurar la Inscripción automática de certificados en la Directiva predeterminada de grupos de dominio.

9. Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado.

10. Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento de
clientes.

11. Configurar e iniciar el servicio Agente NAP.

12. Permitir ICMP a través de Firewall de Windows.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1, 6822A-NYC-CL1 y 6822A-NYC-CL2

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL2, haga clic en Iniciar.

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1

Si es necesario, en NYC-DC1, abra Administrador del servidor desde el menú Herramientas


administrativas.

Tarea 3: Instalar las funciones del servidor NPS, HRA y CA

1. En Administrador del servidor, agregue la función Directiva de red y servicios de acceso.

2. En la página Seleccionar servicios de función, seleccione la casilla Entidad de registro de mantenimiento


y luego haga clic en Agregar servicios de función requeridos.

3. Seleccione Instalar una CA local para emitir certificados de mantenimiento para este servidor HRA con
la opción No, permitir solicitudes anónimas para certificados de mantenimiento.
4. Seleccione No usar SSL o Elegir un certificado para cifrado SSL más tarde.

5. En la página Seleccionar servicios de función, compruebe que sólo esté seleccionada la casilla Entidad de
certificación.

6. Instale Servicios de certificados como CA raíz Independiente.

7. Acepte la clave privada predeterminada y la configuración criptográfica.

8. Otorgue un nombre a la CA Woodgrovebank-CAraíz.

9. Acepte la configuración predeterminada para el resto de la configuración y luego haga clic en Instalar.

10. En la página Resultados de instalación, observe que la instalación de Directiva de red y servicios de acceso
se completó con errores. Esto se debe a que se instaló la CA después de instalar la función, por lo que no se
pudo alcanzar. Compruebe que todas las instalaciones se hayan realizado correctamente y luego haga clic en
Cerrar.

Tarea 4: Configurar HRA con permisos

1. Abra la herramienta administrativa Entidad de certificación.

2. Abra las propiedades de WoodgroveBank-CAraíz del panel de la lista.

3. Haga clic en la ficha Seguridad, haga clic para agregar la cuenta Servicio de red y seleccione la casilla
Permitir para Emitir y administrar certificados, Administrar CA y Solicitar certificados.

4. En la ficha Módulo de directivas, haga clic en Propiedades y seleccione Seguir la configuración de la


plantilla de certificado, si es aplicable. Caso contrario, automáticamente emitir el certificado.

5. Reinicie Entidad de certificación.

6. Cierre la consola Entidad de certificación.

Tarea 5: Configurar las propiedades de CA en HRA

1. En NYC-DC1, cree una MMC personalizada y agregue el complemento Entidad de registro de


mantenimiento.

2. En la consola Registro de mantenimiento, haga clic con el botón secundario en Entidad de certificación y
agregue WoodGroveBank-CARaíz, haciendo clic en Agregar entidad de certificación.

3. Haga clic en Entidad de certificación y compruebe que se muestre \\NYC-DC1.Woodgrovebank.com


\Woodgrovebank-CARaíz en el panel de detalles.

4. Haga clic con el botón secundario en el panel de la lista Entidad de certificación y abra Propiedades para
comprobar que esté seleccionado Usar entidad de certificación independiente.

5. Cierre la consola Autoridad de registro de mantenimiento.

Tarea 6: Configurar NPS como un servidor de directivas de mantenimiento NAP

1. En NYC-DC1, abra la consola Servidor de directiva de red.

2. En Configuración estándar, haga clic en Configurar NAP.

3. En la página Seleccionar método de conexión de red para usar con NAP, seleccione IPsec con entidad
de registro de mantenimiento (HRA).

4. En las páginas Especificar servidores de cumplimiento de NAP que ejecutan HRA y Configurar grupos
de usuario y grupos de equipos, acepte la configuración predeterminada.

5. En la página Definir directiva de mantenimiento NAP, compruebe que estén seleccionadas las casillas
Validador de mantenimiento de seguridad de Windows y Habilitar corrección automática de los
equipos cliente y luego haga clic en Finalizar en la página Completando directivas de protección de
acceso a redes y clientes RADIUS.

6. Deje abierta la consola NPS para la siguiente tarea.


Tarea 7: Configurar validadores de mantenimiento del sistema

1. En el árbol de consola NPS, haga clic en Protección de acceso a redes y luego haga clic en Configurar
validadores de mantenimiento del sistema en el panel de detalles.

2. En el panel de detalles, en Nombre, haga doble clic en Validador de mantenimiento de seguridad de


Windows.

3. Haga clic en Configurar.

4. Desactive todas las casillas excepto Firewall está habilitado para todas las conexiones de red.

5. Haga clic en Aceptar dos veces para cerrar los cuadros de diálogo Validador de mantenimiento de
seguridad de Windows y Propiedades del validador de mantenimiento de seguridad de Windows.

6. Cierre la consola NPS.

Tarea 8: Configurar la Inscripción automática de certificados en la Directiva predeterminada de grupos de dominio

1. En NYC-DC1, abra la consola Administración de directiva de grupo.

2. Edite Directiva de dominio predeterminada.

3. En Configuración del equipo, Configuración de Windows, Configuración de seguridad, seleccione


Directivas de clave pública.

4. Haga doble clic en Cliente de servicios Cliente de servicios de certificados– Inscripción automática.

5. En el cuadro de diálogo Definir configuración de directivas, configure lo siguiente:

Modelo de configuración: Habilitada

Seleccione Renovar certificados expirados, actualizar certificados pendientes y quitar certificados


revocados

Seleccione Actualizar certificados que usan plantillas de certificado

6. Haga clic en Aceptar y cierre Editor de administración de directiva de grupo.

7. Cierre la consola Administración de directivas de grupo.

Tarea 9: Configurar NYC-CL1 y NYC-CL2 de manera tal que el Centro de seguridad esté siempre habilitado

1. Inicie sesión en NYC-CL1 como Woodgrovebank\administrador usando la contraseña Pa$$w0rd.

2. Abra Editor de directivas de grupo local escribiendo gpedit.msc en el cuadro de texto Iniciar búsqueda.

3. Abra Directiva de equipo local/Configuración del equipo/Plantillas administrativas/Componentes de


Windows/Centro de seguridad usando Editor de objeto de directiva de grupo.

4. Haga doble clic en Activar centro de seguridad (solo equipos de dominio), haga clic en Habilitado y luego
en Aceptar.

5. Cierre la consola Editor de objeto de directiva de grupo local.

6. Repita los pasos de 1 a 5 en NYC-CL2.

Tarea 10: Habilitar el cliente de cumplimiento IPsec y establecer la configuración para el registro de mantenimiento de clientes

1. En NYC-CL1, abra la consola Configuración de cliente NAP escribiendo napclcfg.msc en el cuadro de texto
Iniciar búsqueda.

2. Habilite Usuario de confianza de IPsec en el panel de detalles Clientes de cumplimiento.

3. En árbol de consola Configuración de cliente NAP, haga doble clic en Configuración de registro de
mantenimiento.

4. Agregue dos nuevos Grupos de servidores de confianza, seleccione no requiere verificación del
servidor y luego haga clic en Nuevo.

5. En Agregue las direcciones URL de los servidores de la entidad de registro de mantenimiento en los
que desea que el cliente confíe, escriba http://nyc-dc1.woodgrovebank.com/domainhra/hcsrvext.dll, y
luego haga clic en Agregar. Escriba http://nyc-dc1.woodgrovebank.com /nondomainhra/hcsrvext.dll,
haga clic en Agregar y luego en Finalizar.

6. En el árbol de consola, haga clic en Grupos de servidores de confianza y compruebe que las direcciones
URL estén escritas correctamente.

7. Cierre la ventana Configuración de cliente NAP.

8. Repita los pasos de 1 a 7 en NYC-CL2.

Tarea 11: Configurar e iniciar el servicio Agente NAP

1. En NYC-CL1, abra la consola Servicios, configure las propiedades de inicio de las Propiedades del agente
de protección de redes a Automático y luego inicie el servicio.

2. Espere que se inicie el servicio agente NAP y luego haga clic en Aceptar.

3. Cierre la consola Servicios.

4. Repita los pasos de 1 a 3 para NYC-CL2.

Tarea 12: Permitir ICMP a través de Firewall de Windows

1. En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba wf.msc y luego presione
Entrar.

2. Cree una nueva Regla de entrada personalizada para Todos los programas que especifican Solicitud de
eco ICMPv4 que usa el ámbito predeterminado con la Acción de Permitir la conexión. Acepte el perfil
predeterminado y denomine la regla Solicitud de eco ICMPv4.

3. Cierre la consola Firewall de Windows con seguridad avanzada.

4. Repita los pasos de 1 a 3 en NYC-CL2.


Ejercicio 2: Configuración y prueba de cumplimiento NAP para IPsec

Ejercicio 2: Configuración y prueba de cumplimiento NAP para IPsec

Descripción general del ejercicio

En este ejercicio, se configurará y probará el cumplimiento NAP para IPsec.

Las principales tareas se realizarán como se detalla a continuación:

1. Crear una Unidad organizativa segura de IPsec en Active Directory.

2. Crear directivas IPsec para el cumplimiento de mantenimiento seguro.

3. Mover NYC-CL1 y NYC-CL2 a la unidad organizativa segura de IPsec.

4. Aplicar directivas de grupo.

5. Comprobar el estado del certificado de mantenimiento.

6. Comprobar que los clientes puedan comunicarse de manera segura.

7. Demostrar la Restricción de red.

8. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Crear una Unidad organizativa segura de IPsec en Active Directory

1. En NYC-DC1, abra Usuarios y equipos de Active Directory y cree una nueva unidad organizativa en el nivel
raíz denominada IPsec segura.

2. Deje abierta la consola Usuarios y equipos de Active Directory.

Tarea 2: Crear directivas IPsec para la unidad organizativa segura de IPsec

1. En NYC-DC1, abra la consola Administración de directiva de grupo.

2. Cree y vincule un nuevo Objeto de directiva de grupo para la unidad organizativa IPsec segura y denomina la
directiva Directiva segura.

3. Edite la Directiva segura para crear directivas IPsec para todos los estados de perfil.

1. Abra Directiva segura [nyc-dc1.woodgrovebank.com] Directiva\Configuración del equipo\Directivas


\Configuración de Windows \Configuración de seguridad\Firewall de Windows con seguridad
avanzada\ Firewall de Windows con seguridad avanzada – LDAP.

2. En la ficha Perfil de dominio, junto a Estado del Firewall, seleccione Activado (recomendado). Junto a
Conexiones de entrada, seleccione Bloquear (predeterminado). Junto a Conexiones de salida,
seleccione Permitir (predetermiado). Se usará la misma configuración para los perfiles privados y públicos.

4. En el árbol de consola Editor de administración de directiva de grupo, en Firewall de Windows con


seguridad avanzada - LDAP, haga clic con el botón secundario en Reglas de seguridad de conexión y
cree una nueva regla que tenga seleccionadas las opciones Aislamiento y Requerir autenticación para
conexiones de entrada o solicitar autenticación para conexiones de salida.

5. En la página Método de autenticación, seleccione Certificado del equipo, seleccione la casilla Solo
aceptar certificados de mantenimiento y especifique WoodgroveBank-CARaíz.

6. En la página Perfil, compruebe que las casillas Privado, Público y De dominio estén seleccionadas. En la
página Nombre, escriba Regla segura y luego haga clic en Finalizar.

7. Haga clic con el botón secundario en Reglas de entrada y luego cree una nueva regla usando la regla
predefinida Compartir impresoras y archivos sólo con la opción Permitir la conexión si es segura.

8. Cierre la consola Editor de administración de directivas de grupo.


Tarea 3: Mover NYC-CL1 y NYC-CL2 a la unidad organizativa segura de IPsec

1. En NYC-DC1, abra Usuarios y equipos de Active Directory.

2. Abra el contenedor Equipos, seleccione NYC-CL1 y NYC-CL2, arrástrelos y colóquelos en la unidad


organizativa IPsec segura.

3. Cierre la consola Usuarios y equipos de Active Directory.

Tarea 4: Aplicar directivas de grupo

1. En NYC-CL1 y NYC-CL2, use gpactulización /forzar para volver a aplicar la configuración de Directiva de
grupo modificada.

2. Compruebe que la respuesta sea La actualización de directiva de usuario se completó correctamente y


La actualización de directiva de equipo se completó correctamente.

3. Deje abierta la ventana de comandos para los siguientes procedimientos.

Tarea 5: Comprobar el estado del certificado de mantenimiento

1. En NYC-CL1, cree una herramienta MMC personalizada que incluya el complemento Certificados con
certificados Cuenta del equipo específicos para Equipo local.

2. En el árbol de consola MMC, haga doble clic en Certificados (Equipo local), haga doble clic en Personal y
luego haga clic en Certificados. En el panel de detalles, en Emitido por, compruebe que se muestre
WoodGroveBank-CARaíz. Compruebe que Propósitos planteados muestre Autenticación de
mantenimiento del sistema.

3. Cierre la consola MMC sin guardar los cambios.

Tarea 6: Comprobar que los clientes puedan comunicarse de manera segura

1. En NYC-CL1, haga clic en Inicio y en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y luego
presione Entrar.

2. Confirme que el comando se ha completado correctamente.

3. Compruebe que se puedan visualizar los contenidos del recurso compartido.

4. Abra Firewall de Windows con seguridad avanzada en NYC-CL1.

5. En el panel de la lista de la consola Firewall de Windows con seguridad avanzada, expanda Supervisión,
luego Asociaciones de seguridad y seleccione Modo principal.

6. En el panel de detalles, debe ver una entrada para comunicaciones seguras entre NYC-CL1 y NYC-CL2. Haga
doble clic en la entrada y revise el contenido de la ficha General. Debe ver Certificado de equipo para
primera autenticación, Cifrado usando AES-128 e Integridad realizada usando SHA1.

7. Cierre el cuadro de diálogo y cierre Firewall de Windows con seguridad avanzada.

Tarea 7: Demostrar la Restricción de red

Nota: Se requerirán actualizaciones automáticas para el cumplimiento NAP habilitando esta comprobación del
mantenimiento del sistema en el Validador de mantenimiento de seguridad de Windows.

1. En NYC-DC1, abra Protección de acceso a redes y luego haga clic en Validadores de mantenimiento del
sistema.

2. Configure Validador de mantenimiento de seguridad de Windows, en Actualización automática


seleccione la casilla La actualización automática está habilitada y luego haga clic en Aceptar dos veces.

Nota: Para demostrar la restricción de red de clientes no compatibles, la actualización automática de equipos cliente
debe estar deshabilitada en la directiva de red no compatible.

3. En el árbol de consola Servidor de directiva de redes, haga clic en Directivas de red.


4. En el panel de detalles, haga doble clic en IPsec de NAP con HRA que no cumple.

5. Haga clic en la ficha Configuración, luego en Cumplimiento NAP, desactive la casilla Habilitar corrección
automática de equipos cliente y luego haga clic en Aceptar.

6. Cierre la consola Servidor de directiva de red.

7. En NYC-CL1, en la ventana de comandos, escriba ping -t NYC-CL2 y luego presione ENTRAR. Se ejecutará
un ping continuo desde NYC-CL1 a NYC-CL2. Esto debe llevarse a cabo correctamente.

8. En NYC-CL2, en el panel de control Seguridad, seleccione Activar o desactivar actualización automática,


seleccione No buscar nunca actualizaciones (no recomendado) y luego haga clic en Aceptar. Esta
configuración hace que NYC-CL2 no sea compatible con la directiva de mantenimiento de red. Debido a que la
actualización automática se ha deshabilitado, NYC-CL2 permanecerá en estado no compatible y se ubicará en
la red restringida.

Nota: No cierre el panel de control Seguridad en NYC-CL2. Lo usará para volver a habilitar Actualizaciones de
Windows en pasos futuros.

9. En NYC-CL1, compruebe que la respuesta en la ventana de comandos haya cambiado a Se agotó el tiempo
de la solicitud.

10. En NYC-CL1, haga clic en Inicio, en el cuadro de texto Iniciar búsqueda, escriba \\NYC-CL2\ y compruebe
que el recurso compartido sea inaccesible.

11. En NYC-CL2, en el panel de control Seguridad en Actualizaciones de Windows, haga clic en Activar o
desactivar actualización automática, seleccione Instalar actualizaciones automáticamente
(recomendado) y luego haga clic en Aceptar. Esta configuración hará que NYC-CL2 envíe un nuevo SoH que
indique que es compatible con los requisitos de mantenimiento de red y NYC-CL2 obtendrá acceso total a la
red.

12. En NYC-CL1, compruebe que la respuesta en la ventana de comandos cambie a Respuesta desde
10.10.0.60. Es posible que transcurra un minuto antes de poder visualizar el cambio de estado.

13. Compruebe que pueda examinar el recurso compartido de NYC-CL2 (\\NYC-CL2\).

14. Cierre todas las ventanas.

Tarea 8: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Cierre el Iniciador de laboratorio de 6822A.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuál es la diferencia entre el protocolo ESP y el protocolo AH al usar IPsec?

2. ¿Qué algoritmos de cifrado están disponibles para el protocolo ESP en Windows Server 2008?

3. Si necesita asegurar comunicaciones en un servidor de dominio determinado y debe admitir conexiones de los
equipos de dominio y que no son de dominio y, a su vez, desea contar con un único método de autenticación,
¿cuál método es el más adecuado?

4. ¿Es posible que un equipo en la red lógica restringida obtenga acceso a los recursos en un servidor de la red
lógica segura?

5. ¿Qué tipo de equipos encontraría comúnmente dentro de una red lógica restringida en un entorno NAP para
IPsec?

Errores frecuentes acerca de IPsec

Los errores más frecuentes acerca de IPsec son:

IPsec es una tecnología VPN.

Aunque IPsec se usa para conexiones VPN en Internet para conectar clientes remotos a una intranet o sitios remotos
entre sí, IPsec fue diseñado para proteger el tráfico de intranet y de Internet en diversos escenarios.

Al usar IPsec para proteger el tráfico IP que se envía a través de Internet, algunas implementaciones VPN usan un
modo adicional de AH y ESP conocido como modo de túnel, en el cual se encapsula y protege un paquete IP entero.
Los equipos con Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP pueden usar L2TP con
IPsec (L2TP/IPsec) para conexiones VPN. Sin embargo, L2TP/IPsec no usa el modo de túnel. Por el contrario, L2TP
brinda encapsulación para un paquete IP entero y la carga de paquete IP resultante está protegida con ESP y cifrado.

El uso de IPsec requiere cifrado.

IPsec sólo cifra cargas de paquetes IP cuando se elige usar ESP con cifrado. El cifrado es opcional pero se
recomienda en muchas circunstancias, incluso cuando se envían datos privados a través de una red pública (tal como
Internet) o cuando se envía información altamente confidencial a través de una intranet (tales como datos personales o
financieros).

Beneficios de IPsec
La compatibilidad IPsec en Windows brinda los siguientes beneficios:

Defensa específica contra vulnerabilidades en protocolos y aplicaciones de nivel superior.

IPsec protege los protocolos, los servicios y las aplicaciones de nivel superior. Con IPsec habilitado, los paquetes de
comunicación inicial que buscan obtener acceso a una aplicación o un servicio que se ejecuta en un servidor, por
ejemplo, no pasarán a la aplicación o servicio hasta que se haya establecido una confianza a través de la autenticación
IPsec y que se haya aplicado la protección configurada en paquetes para la aplicación o el servicio. Por lo tanto, los
intentos de ataque a aplicaciones o servicios en servidores deben primero atravesar la protección IPsec.

Nota: IPsec no ofrece protección del protocolo de nivel de aplicación de entrada a un sistema del mismo nivel
autenticado. Sin embargo, una vez que se cifra una sesión de protocolo de nivel de aplicación entre dos sistemas del
mismo nivel que usan IPsec, se protege del ataque de reproducción y del ataque de tipo "Hombre en el medio".

El requisito de autenticación del mismo nivel impide la comunicación con equipos que no son de confianza o
desconocidos.

La seguridad IPsec requiere que los sistemas del mismo nivel autentiquen sus credenciales a nivel de equipo antes de
enviar datos basados en IP. Al requerir autenticación al mismo nivel usando credenciales basadas en un modelo de
confianza común, tales como la pertenencia a un dominio de Active Directory, los equipos que no son de confianza o
desconocidos no podrán comunicarse con miembros del dominio. Esto ayuda a proteger los equipos miembro del
dominio frente a la propagación de algunos tipos de virus y gusanos por parte de los equipos que no son de confianza
o desconocidos.

El tráfico de red basado en IP está protegido criptográficamente.

IPsec ofrece un conjunto de protecciones criptográficas para el tráfico basado en IP en base a la elección de AH, ESP
sin cifrado o ESP con cifrado. El tráfico de red basado en IP es a prueba de alteraciones (usando AH o ESP sin
cifrado) o a prueba de alteraciones y cifrado (con ESP y cifrado). El requisito de protección criptográfica de tráfico IP
ayuda a evitar muchos tipos de ataques a la red.

No es necesario cambiar las aplicaciones para que sean compatibles con IPsec.

IPsec está integrado a nivel de Internet del conjunto de protocolos TCP/IP, brindando seguridad para todos los
protocolos basados en IP en el paquete TCP/IP. Con IPsec, no es necesario configurar otra seguridad para cada
aplicación que usa TCP/IP. Por el contrario, las aplicaciones que usan TCP/IP transmiten datos a IP en el nivel de
Internet, donde IPsec puede asegurarlos. Al eliminar la necesidad de modificar aplicaciones, IPsec ahorra tiempo y
costos de desarrollo de aplicaciones.

Herramientas

Herramienta Usar para Dónde encontrarla

MMC de Firewall Se puede usar para habilitar el control total Haga clic en Inicio y elija Herramientas
de Windows con sobre las reglas de firewall y las administrativas. Seleccione la herramienta
seguridad propiedades IPsec en un único equipo. Firewall de Windows con seguridad avanzada
avanzada de las herramientas administrativas disponibles.

Netsh advfirewall Se puede usar el comando netsh para crear Abra una ventana de comandos con derechos
scripts que establezcan la configuración de administrativos y escriba Netsh advfirewall.
Firewall de Windows con seguridad
avanzada de manera automática, crear Puede escribir ayuda para obtener una lista
reglas, supervisar conexiones y mostrar la completa de los comandos disponibles.
configuración y el estado de Firewall de
Windows con seguridad avanzada.

Directiva de grupo Directiva de grupo brinda acceso a todo el Se puede establecer la configuración de
conjunto de características de Firewall de Directiva de grupo para Firewall de Windows
Windows con seguridad avanzada, con seguridad avanzada abriendo el mismo
incluyendo la configuración del perfil, las complemento a través del Editor de objetos de
reglas y las reglas de seguridad de directiva de grupo.
conexión de equipos para la instalación en
equipos cliente.

MMC de Se usa para entornos con versiones mixtas Haga clic en Inicio, luego en Ejecutar, escriba
administración de de Windows y para configurar directivas MMC y finalmente presione ENTRAR. En la
directivas de que se apliquen a todas las versiones de ventana MMC, haga clic en Archivo y luego en
seguridad IP Windows. Agregar o quitar complemento. De la lista de
complementos disponibles, seleccione
Administración de directivas de seguridad IP,
haga clic en Agregar y luego en Aceptar
Módulo 10: Supervisión y solución de problemas de IPsec

Módulo 10

Supervisión y solución de problemas de IPsec


Este módulo brinda información acerca de las tareas de solución de problemas de IPsec y las herramientas de
solución de problemas que pueden usarse para realizarlas.

Lección 1: Supervisión de la actividad de IPsec


Lección 2: Solución de problemas de IPsec
Laboratorio: Supervisión y solución de problemas de IPsec
Lección 1: Supervisión de la actividad de IPsec
Lección 1:

Supervisión de la actividad de IPsec

Al supervisar la actividad de IPsec, se permite:

Visualizar la información de asignación de directiva IPsec.

Visualizar detalles acerca de la directiva IPsec activa y de las estadísticas de IPsec.

Comprobar que la auditoria de seguridad esté habilitada.

Visualizar los eventos relacionados con IPsec.

Habilitar el registro de auditoria para eventos de Intercambio de claves por red (IKE) y visualizar los eventos.

Visualizar IPsec y otra comunicación de red.

Cambiar la configuración de IPsec para solucionar problemas.


Herramientas usadas para supervisar IPsec

Herramientas usadas para supervisar IPsec

Puntos clave

Es posible usar el complemento Monitor de seguridad IP para visualizar y supervisar las estadísticas relacionadas con
IPsec y la directiva IPsec aplicada a los equipos. Esta información puede resultar útil para solucionar problemas de
IPsec y probar las directivas que está creando. Este complemento puede usarse únicamente para equipos con
Windows XP o Windows Vista™.

Otras herramientas que pueden usarse para supervisar IPSec son:

IPSecmon

El nodo de supervisión del complemento Firewall de Windows con seguridad avanzada

El comando Netsh

Material de lectura adicional

Tema de Ayuda: Supervisión de IPsec

Herramientas para solucionar problemas de IPSec


Uso de Monitor de seguridad IP para supervisar IPsec

Uso de Monitor de seguridad IP para supervisar IPsec

Puntos clave

Monitor de seguridad IP se implementa como un complemento de MMC e incluye mejoras que permiten visualizar
detalles sobre una directiva IPsec activa que aplica el dominio o que se aplica localmente. También es posible
visualizar estadísticas de modo rápido y de modo principal y SA de IPsec activas. Monitor de seguridad IP también
permite buscar filtros específicos de modo principal o de modo rápido. Para solucionar problemas complejos de
diseño de directiva IPsec, puede usarse Monitor de seguridad IP para buscar todas las coincidencias para los filtros
de un tipo de tráfico específico.

Material de lectura adicional

Tema de Ayuda: Supervisión de IPsec

Tema de Ayuda: Supervisión de modo principal

Tema de Ayuda: Supervisión de modo rápido


Uso de Firewall de Windows con seguridad avanzada para supervisar IPsec

Uso de Firewall de Windows con seguridad avanzada para supervisar IPsec

Puntos clave

Firewall de Windows con seguridad avanzada es un firewall con estado, basado en host que bloquea las conexiones
entrantes y salientes conforme a su configuración. Si bien la configuración típica de Firewall de Windows del usuario
final se realiza con la herramienta Panel de control del Firewall de Windows, la configuración avanzada se lleva a cabo
en un complemento MMC denominado Firewall de Windows con seguridad avanzada.

La inclusión de este complemento no sólo brinda una interfaz para configurar el Firewall de Windows localmente, sino
también para configurar el Firewall de Windows en equipos remotos y a través de Directiva de grupo. Actualmente, las
funciones del Firewall se integran con configuraciones de protección de IPsec, reduciéndose así las posibilidades de
conflictos entre los dos mecanismos de protección.
Demostración: Supervisión de IPsec

Demostración: Supervisión de IPsec


Lección 2: Solución de problemas de IPsec

Lección 2:

Solución de problemas de IPsec

Es necesario comprender los procesos de solución de problemas y de supervisión de IPsec completos para
resolverlos correctamente. Además, debe comprender los tipos de problemas de conectividad frecuentes
relacionados con IPsec e IKE y qué debe buscarse para solucionar problemas de eventos de negociación IKE.
Proceso de solución de problemas de IPSec

Proceso de solución de problemas de IPSec

Puntos clave

El proceso de solución de problemas de IPsec incluye los siguientes pasos:

Comprobar la configuración de red IP

Comprobar que las configuraciones de firewall locales y externas sean correctas

Comprobar Directiva de grupo y la directiva IPsec

Garantizar la compatibilidad de directivas

También hay observaciones adicionales para solucionar problemas de IPsec, tales como comprobar la configuración
del firewall y habilitar el registro IKE.

Material de lectura adicional

Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominio
usando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec
Solución de problemas de IKE

Solución de problemas de IKE

Puntos clave

Para solucionar problemas de IKE correctamente, se deben comprender las siguientes instrucciones:

Solucionar problemas de conectividad relacionados con IPsec e IKE.

Solucionar problemas de firewall y puertos.

Ver el archivo Oakley.log en busca de posibles problemas.

Identificar problemas de intercambio de modo principal.


Solución de problemas de eventos de negociación IKE

Solución de problemas de eventos de negociación IKE

Puntos clave

Para solucionar problemas de eventos de negociación IKE, es necesario identificar:

Eventos de negociación IKE satisfactorios.

Entradas de registro de información.

Errores de auditoria de modo rápido.

Material de lectura adicional

Server and Domain Isolation Using IPSec and Group Policy, Chapter 7 (Aislamiento de servidor y de dominio
usando IPsec y Directiva de grupo: Capítulo 7): Solución de problemas de IPsec

System Error Codes (12000-15999) [Código de error del sistema (12000-15999)]


Laboratorio: Supervisión y solución de problemas de IPsec

Laboratorio: Supervisión y solución de problemas de IPsec

Objetivos

Supervisar la conectividad de IPsec

Configurar la seguridad de conexión

Solucionar problemas de IPsec

Escenario:

Al especialista en tecnología de servicios de infraestructura de Windows se le ha asignado la tarea de extender la


infraestructura de una red existente para que incluya la funcionalidad IPsec. Al usar los complementos Monitor de
seguridad IP y Firewall de Windows con seguridad avanzada, es posible visualizar estadísticas y directivas de
seguridad IP, determinar si se están produciendo errores en las negociaciones IPsec y supervisar las estadísticas
IPsec. Se le envían extensiones de la solución de problemas.
Ejercicio 1: Supervisión de conectividad de IPSec

Ejercicio 1: Supervisión de conectividad de IPSec

Descripción general del ejercicio

En este ejercicio, los estudiantes habilitarán una directiva IPsec y luego visualizarán la conexión usando Monitor de
seguridad IP.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1.

2. Crear una directiva de negociación IPsec en NYC-DC1.

3. Exportar la directiva desde NYC-DC1.

4. Importar la directiva de seguridad a NYC-SVR1.

5. Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando.

Tarea 1: Iniciar las máquinas virtuales 6822A-NYC-DC1 y 6822A-NYC-SVR1

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio., junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio., junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Crear una directiva de negociación IPSec en NYC-DC1

1. Configure algunas directivas IPsec que protejan el tráfico TCP y UDP usando Directiva de seguridad local MMC
que se encuentra en Herramientas administrativas.

Puerto de origen: 445

Puerto de destino: Cualquiera

2. Filtre el tráfico IP que proviene de cualquier dirección IP y se dirige a cualquier dirección IP.

Tarea 3: Exportar la directiva desde NYC-DC1

En la consola Directiva de seguridad local MMC, exporte las directivas IPSec a un archivo en NYC-SVR1
(guárdelo en D:\ArchivosdeLaboratorio\Módulo10\DirectivadeSeguridadIP.ipsec).

Tarea 4: Importar la directiva de seguridad a NYC-SVR1

En NYC-SVR1, importe las directivas IPSec usando Directiva de seguridad local MMC.

Tarea 5: Usar Monitor de seguridad IP para corroborar que la directiva de negociación esté funcionando

1. Habilite Directivas de seguridad IP en ambos equipos.

2. Usando el comando Ejecutar, cargue una consola vacía y agregue el complemento Monitor de seguridad IP.

3. Establezca un recurso compartido de conexión de archivos entre NYC-SVR1 y NYC-DC1.

4. Supervise la información de conexión segura en la consola Monitor de seguridad IP.


Ejercicio 2: Configuración de seguridad de conexión

Ejercicio 2: Configuración de seguridad de conexión

Descripción general del ejercicio

En este ejercicio, configurará una regla de seguridad de conexión en Firewall de Windows con seguridad avanzada y
luego supervisará la conexión usando el nodo Asociaciones de seguridad.

Las principales tareas se realizarán como se detalla a continuación:

1. Deshabilitar la directiva de seguridad IP que creó en el ejercicio anterior.

2. Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada.

3. Supervisar la conexión usando el nodo Asociaciones de seguridad.

4. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Deshabilitar la directiva de seguridad IP que creó en el ejercicio anterior

1. Deshabilite Directiva de seguridad IP en NYC-DC1.

2. Deshabilite Directiva de seguridad IP en NYC-SVR1.

Tarea 2: Configurar una regla de asociaciones de seguridad en la MMC Firewall de Windows con seguridad avanzada

1. En NYC-DC1, abra Firewall de Windows con seguridad avanzada.

2. Cree una nueva regla en Reglas de seguridad de conexión.

3. Seleccione una regla Servidor-a-servidor con Cualquier dirección IP para Extremos.

4. Seleccione Requerir autenticación para conexiones de entrada y de salida.

5. Seleccione Clave previamente compartida con la contraseña Pa$$w0rd.

6. Aplique la regla a los perfiles De dominio, Privado y Público.

7. Cree la misma regla en NYC-SVR1 y use la misma Clave previamente compartida.

Tarea 3: Supervisar la conexión usando el nodo Asociaciones de seguridad

1. Establezca una comunicación entre NYC-SVR1 y NYC-DC1.

2. Revise los nodos Modo principal y Modo rápido para visualizar el estado de la regla Seguridad de conexión.

Tarea 4: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.

3. Cierre el Iniciador de laboratorio de 6822A.


Ejercicio 3: Solución de problemas de IPsec

Ejercicio 3: Solución de problemas de IPsec

Descripción general del ejercicio

En este ejercicio, se revisarán escenarios que describen problemas comunes que pueden surgir al solucionar
problemas de IPsec y luego se comentarán las posibles soluciones.

Escenario 1

Un administrador está intentado conectarse a un equipo remoto y supervisar su conectividad IPsec. El administrador
informa que no puede supervisar el servidor remoto. Se le solicita que use Visor de eventos para identificar el
problema y, al hacerlo, el administrador observa el siguiente error: “El servidor IPsec no está disponible o no es
compatible con el monitor IPsec”.

Pregunta: ¿Qué puede hacer para resolver este problema?

Escenario 2

Un administrador ha configurado y habilitado una Directiva de seguridad IPsec en un servidor de archivos que
almacena archivos de información confidencial. El administrador también ha creado una directiva basada en Active
Directory y la ha aplicado a la unidad organizativa (OU) de los clientes que tienen el acceso permitido al servidor
seguro. Al día siguiente, el administrador de copias de seguridad, encargado de hacer una copia de seguridad del
servidor seguro, informa que no pudo obtener acceso al servidor seguro desde el servidor de copia de seguridad. La
cuenta del equipo del servidor de copia de seguridad está almacenada en una unidad organizativa administrativa
independiente de la del cliente.

Pregunta: Según la información brindada, ¿por qué el servidor de copia de seguridad no puede obtener acceso al
servidor seguro?
Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuál es el nombre del archivo de registro que debería usarse para solucionar problemas de IKE?
2. ¿Cuáles son los cuatro pasos principales que deben llevarse a cabo para solucionar problemas de IPsec?

Procedimientos recomendados

Los siguientes procedimientos recomendados generales pueden ser útiles para optimizar la seguridad y reducir la
posibilidad de que surjan problemas al implementar IPsec:

1. Establecer un plan de implementación de IPsec. El plan de implementación debería contemplar las siguientes
observaciones: qué escenarios de implementación (como servidor a servidor o acceso remoto) necesitan el
uso de IPsec, qué nivel de seguridad se requiere para cada escenario, qué tipos de datos, equipos y vínculos
físicos se asegurarán, quién administrará las directivas IPsec y cómo se brindará soporte técnico y solución de
problemas de manera continua para usuarios finales después de la implementación de IPsec. Esto permite
solucionar problemas con mayor facilidad y establece quiénes son los responsables de las distintas áreas de
infraestructura de IPsec.

2. Crear y probar directivas IPsec para todos los escenarios de implementación. Antes de implementar IPsec en
un entorno de producción, deben probarse las directivas IPsec en un entorno de laboratorio realista. Para
obtener datos de rendimiento realistas, deben ejecutarse cargas de trabajo estándar en los programas. Durante
las pruebas iniciales, observe el contenido de paquete con Monitor de red o use el Encabezado de
autenticación (AH) o la Carga de seguridad encapsuladora (ESP) con cifrado nulo para visualizar contenido de
paquete para entornos de prueba.

3. No use claves previamente compartidas. Para optimizar la seguridad, no se recomienda el uso de la


autenticación con clave previamente compartida porque es un método de autenticación de baja seguridad.
Además, las claves previamente compartidas se almacenan en texto simple. Se brinda la autenticación con
clave previamente compartida para fines de interoperabilidad y para adherirse a normas IPsec. Se recomienda
usar claves previamente compartidas sólo para probar y usar certificados o la versión 5 del protocolo Kerberos
en un entorno de producción.

4. Usar el algoritmo Triple Estándar de cifrado de datos (3DES) para lograr un cifrado más seguro. Usar 3DES
para optimizar la seguridad al configurar métodos de seguridad de intercambio de claves para directivas IPsec.
Es un algoritmo de cifrado más seguro que DES.

5. Crear y asignar una directiva IPsec persistente para seguridad a prueba de errores. Para optimizar la seguridad,
crear y asignar una directiva IPsec persistente para que los equipos puedan estar asegurados en caso de que
no sea posible aplicar una directiva IPsec local o una directiva IPsec basada en Active Directory. Al crear y
asignar una directiva persistente, ésta se aplica antes que una directiva local o una directiva basada en Active
Directory y sigue en efecto sin importar si se aplica la directiva local o la directiva basada en Active Directory
(por ejemplo, una directiva IPsec no se aplicará si está dañada).

Nota: No es posible configurar esta característica en la consola Administración de directivas de seguridad IP. Debe
usar la herramienta de línea de comandos Netsh IPsec para configurar esta característica.

Si se aplica la misma directiva IPsec a equipos que ejecutan distintas versiones del sistema operativo
Windows, debe probarse la directiva exhaustivamente. Para garantizar que la misma directiva IPsec funcione
del modo deseado, debe probar la directiva exhaustivamente en todos los sistemas operativos relevantes antes
de la implementación.

Usar Servicios de Terminal Server para administrar y supervisar IPsec de manera remota en equipos con
diferentes versiones del sistema operativo Windows. La administración y supervisión remota de IPsec sólo es
compatible para equipos que ejecutan la misma versión de Windows. Es posible usar Servicios de Terminal
Server para administrar y supervisar IPsec de manera remota en un equipo con una versión de Windows
diferente a la de su equipo.
Módulo 11: Configuración y administración de Sistema de archivos
distribuido (DFS)

Módulo 11

Configuración y administración de Sistema de archivos distribuido


(DFS)
Muchas de las empresas de la actualidad enfrentan el desafío de mantener grandes cantidades de servidores y
usuarios que, con frecuencia, están geográficamente distribuidos en áreas extensas. En estas situaciones, los
administradores deben encontrar la manera de que los usuarios busquen los archivos más recientes tan rápido como
sea posible. Por lo general, la administración de varios sitios de datos plantea desafíos adicionales, tales como limitar
el tráfico de red a través de conexiones de red de área extensa (WAN) lentas, asegurar la disponibilidad de los
archivos durante los errores de WAN o del servidor y hacer copias de seguridad de los servidores de archivos que se
encuentran en sucursales más pequeñas.

Este módulo presenta la solución Sistema de archivos distribuido (DFS) que puede usarse para abordar estos
desafíos brindando acceso tolerante a errores y replicación de los archivos compatible con WAN ubicados en toda la
empresa.

Lección 1: Descripción general de DFS


Lección 2: Configuración de espacios de nombres DFS
Lección 3: Configuración de la replicación DFS
Laboratorio: Configuración de DFS
Lección 1: Descripción general de DFS
Lección 1:

Descripción general de DFS

Los administradores que gestionan los servidores de archivos en una empresa requieren un acceso eficaz a los
recursos y la disponibilidad de los archivos. DFS en el sistema operativo Windows Server® 2008 brinda dos
tecnologías para abordar estos desafíos: Replicación DFS y Espacios de nombres DFS. Esta lección describe las
dos tecnologías y ofrece escenarios y requisitos para implementar una solución DFS dentro de su entorno de red.
¿Qué es el Sistema de archivos distribuido?

¿Qué es el Sistema de archivos distribuido?

Puntos clave

Las tecnologías DFS en Windows Server 2008 brindan un modo simplificado de acceso a los archivos
geográficamente distribuidos en una organización. Además, DFS ofrece una replicación de archivos compatible con
WAN entre servidores. Las tecnologías DFS incluyen:

Espacios de nombres DFS

Replicación DFS

Compresión diferencial remota

Pregunta: ¿Qué dos tecnologías conforman DFS?

Pregunta: ¿Qué tecnología se usa para replicar archivos dentro de un entorno de Windows Server 2008?

Material de lectura adicional

Distributed File System Technology Center (Centro de tecnología de Sistema de archivos distribuido)

Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)

Microsoft Distributed File System - IT Value Card (Sistema de archivos distribuido de Microsoft: Tarjeta de valor
de TI)

About Remote Differential Compression (Acerca de la Compresión diferencial remota)

Optimizing File Replication over Limited-Bandwidth Networks using Remote Differential Compression (Optimizar
la replicación de archivos en redes de ancho de banda limitado usando Compresión diferencial remota)
Cómo funcionan los espacios de nombres DFS y la replicación DFS

Cómo funcionan los espacios de nombres DFS y la replicación DFS

Puntos clave

Aunque los espacios de nombres DFS y la replicación DFS son tecnologías distintas, pueden usarse en conjunto para
brindar una alta disponibilidad y redundancia de datos.

El siguiente proceso describe cómo los espacios de nombres DFS y la replicación DFS funcionan en conjunto:

1. El usuario tiene acceso a la carpeta en el espacio de nombres configurado.

2. El equipo cliente tiene acceso al primer servidor en la referencia.

Material de lectura adicional

Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)

Distributed File System: Frequently Asked Questions (Sistema de archivos distribuido: Preguntas más
frecuentes)

Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivos
distribuido: Preguntas más frecuentes)

Ayuda acerca de Administración del Sistema de archivos distribuido: Descripción general de espacios de
nombres DFS
Escenarios de DFS

Escenarios de DFS

Puntos clave

Diversos escenarios clave pueden beneficiarse de los espacios de nombres DFS y la replicación DFS. Estos
escenarios incluyen:

Compartir archivos entre sucursales

Recopilación de datos

Distribución de datos

Pregunta: ¿Cómo puede usar las tecnologías DFS dentro de su organización?

Material de lectura adicional

Overview of the Distributed File System Solution in Microsoft Windows Server 2003 R2 (Descripción general de
la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)

(Descripción general de la solución Sistema de archivos distribuido en Microsoft Windows Server 2003 R2)
Tipos de espacios de nombres DFS

Tipos de espacios de nombres DFS

Puntos clave

Puede crear un espacio de nombres independiente o basado en dominio. Cada uno de estos tipos tiene
características diferentes.

Puede usarse un espacio de nombres basado en dominio cuando:

Se requiere una alta disponibilidad de espacios de nombres.

Desea ocultar el nombre de los servidores de espacio de nombres a los usuarios.

El espacio de nombres independiente se usa cuando:

Su organización no ha implementado el servicio de directorio de Active Directory®.

Su organización no cumple con los requisitos para un espacio de nombres basado en dominio en modo
Windows Server 2008 y cuenta con requisitos para más de 5.000 carpetas DFS. Los espacios de nombres
DFS independientes admiten hasta 50.000 carpetas con destinos.

Pregunta: ¿Cómo puede asegurarse de que los usuarios no desvíen una conexión WAN lenta para obtener acceso a
la raíz de espacio de nombres DFS?

Material de lectura adicional

Tema de Ayuda: Administración de Sistema de archivos distribuido: Elección de un tipo de espacio de nombres
¿Qué son las carpetas y los destinos de carpeta?

¿Qué son las carpetas y los destinos de carpeta?

Puntos clave

Se crean una o varias carpetas dentro de un espacio de nombres DFS. Estas carpetas contienen uno o varios destinos
de carpeta. Este tema describe estos dos conceptos de manera detallada.

Carpetas. Las carpetas son los elementos principales del espacio de nombres.

Destinos de carpeta. Un destino de carpeta es una ruta de la Convención de nomenclatura universal (UNC) a
una de las siguientes ubicaciones:

Una carpeta compartida.

Una carpeta dentro de una carpeta compartida.

Una ruta de acceso a otro espacio de nombres.

Pregunta: ¿Cuál es la jerarquía de espacio de nombres DFS?

Material de lectura adicional

Administración de DFS
Requisitos del servidor de espacio de nombres

Requisitos del servidor de espacio de nombres

Puntos clave

Un servidor de espacio de nombres es un controlador de dominio o un servidor miembro que hospeda un espacio de
nombres DFS. El sistema operativo que se ejecuta en el servidor determina la cantidad de espacios de nombres que
éste puede hospedar.

La siguiente tabla enumera las instrucciones que debería seguir para cumplir con los requisitos del servidor de espacio
de nombres:

Servidor que hospeda espacios de nombres Servidor que hospeda espacios de nombres basados en
independientes dominio

Debe contener un volumen del sistema de archivos Debe contener un volumen NTFS para hospedar el espacio de
NTFS para hospedar el espacio de nombres nombres

Puede ser un servidor miembro o un controlador de Debe ser un servidor miembro o un controlador de dominio en
dominio el dominio en el que está configurado el espacio de nombres

Puede ser un servidor de archivos agrupados El espacio de nombres no puede ser un recurso en clúster en
un clúster de servidores

Material de lectura adicional

Tema de Ayuda: Preparación para implementar espacios de nombres DFS: Revisión de los requisitos del
servidor de espacio de nombres DFS
Demostración: Instalación de DFS

Demostración: Instalación de DFS

Pregunta: Necesita implementar la tecnología DFS en su entorno. ¿Se considera a DFS un servicio de función o una
característica?

Pregunta: ¿Es posible instalar una replicación DFS sin instalar espacios de nombres DFS?
Lección 2: Configuración de espacios de nombres DFS
Lección 2:

Configuración de espacios de nombres DFS

La configuración de espacios de nombres DFS consiste de varias tareas que implican crear la estructura de espacio
de nombres, crear las carpetas dentro del espacio de nombres y agregar destinos de carpeta. Además, puede decidir
realizar tareas de administración adicionales, tales como configurar el orden de referencia y la replicación DFS. Esta
lección brinda información acerca de cómo completar estas tareas de configuración y administración a fin de
implementar una solución DFS eficaz.
Implementación de espacios de nombres para publicar contenido

Implementación de espacios de nombres para publicar contenido

Puntos clave

La mayoría de las implementaciones DFS constan principalmente del contenido publicado en el espacio de nombres
DFS. Para configurar un espacio de nombres para su publicación, realice los siguientes procedimientos:

1. Cree un espacio de nombres.

2. Cree una carpeta en el espacio de nombres.

3. Agregue destinos de carpeta.

4. Establezca el método de orden para destinos en las referencias.

Existen varias tareas opcionales que quizá desee considerar, tales como:

Establecer la prioridad de destino para invalidar el orden de referencia.

Habilitar la conmutación por recuperación de cliente.

Replicar los destinos de carpeta usando DFS-R.

Pregunta: ¿Cómo puede asegurarse de que un servidor específico siempre esté primero o último en la lista de
servidores que el cliente recibe al obtener acceso a un espacio de nombres?

Material de lectura adicional

Implementar un espacio de nombres para publicar contenido

Tema de Ayuda: Administración de Sistema de archivos distribuido: Implementar espacios de nombres DFS
Requisitos de seguridad para crear y administrar un espacio de nombres

Requisitos de seguridad para crear y administrar un espacio de nombres

Puntos clave

Para realizar tareas de administración de espacio de nombres, un usuario debe ser miembro de un grupo
administrativo o bien se le debe haber delegado un permiso específico para realizar la tarea. Puede hacer clic con el
botón secundario en el espacio de nombres y luego hacer clic en Delegar permisos de administración para delegar
los permisos requeridos.

Nota: Además, debe agregar el usuario al grupo Administrador Local en el servidor de espacio de nombres.

La siguiente tabla describe los requisitos de seguridad para crear y administrar un espacio de nombres DFS:

Tarea Requisitos de grupo

Crear un espacio de nombres basado en Admins Dominio


dominio

Agregar un servidor de espacio de nombres a Admins Dominio


un espacio de nombres basado en dominio

Administrar un espacio de nombres basado en Administrador Local en cada servidor de espacio de nombres
dominio

El grupo Administrador Local en el servidor de espacio de nombres


Crear un espacio de nombres independiente

Administrar un espacio de nombres El grupo Administrador Local en el servidor de espacio de nombres


independiente

Implementar la replicación DFS Admins Dominio

Pregunta: Necesita administrar un espacio de nombres basado en dominio. ¿Debe contar con privilegios de Domain
Administrator?
Material de lectura adicional

Delegar permisos de administración para un espacio de nombres existente

Requisitos de seguridad para crear y administrar espacios de nombres


Demostración: Cómo crear espacios de nombres

Demostración: Cómo crear espacios de nombres

Pregunta: Desea habilitar la escalabilidad avanzada y la enumeración basada en el acceso. ¿Qué opción brindan
estas características?
Incremento de la disponibilidad de un espacio de nombres

Incremento de la disponibilidad de un espacio de nombres

Puntos clave

Para que los clientes se conecten a un espacio de nombres DFS, deben poder conectarse a un servidor de espacio
de nombres. Esto significa que es importante asegurarse de que los servidores de espacio de nombres estén
siempre disponibles. El proceso para aumentar la disponibilidad del espacio de nombres varía para cada espacio de
nombres independiente y basado en dominio. Los espacios de nombres basados en dominio pueden hospedarse en
múltiples servidores. Los espacios de nombres independientes se limitan a un único servidor.

Espacios de nombres basados en dominio. Puede aumentar la disponibilidad de un espacio de nombres


basado en dominio especificando servidores de espacio de nombres adicionales que lo hospeden.

Espacios de nombres independientes. Puede aumentar la disponibilidad de un espacio de nombres


independiente creándolo como un recurso compartido en un clúster de servidores.

Destinos de carpeta. Puede aumentar la disponibilidad de cada carpeta en un espacio de nombres agregando
varios destinos de carpeta.

Pregunta: ¿Cuáles son los métodos utilizados para asegurar que el contenido esté disponible dentro de un espacio
de nombres DFS?

Material de lectura adicional

Aumentar la disponibilidad de un espacio de nombres


Opciones para optimizar un espacio de nombres

Opciones para optimizar un espacio de nombres

Puntos clave

Los espacios de nombres cuentan con varias opciones de configuración que pueden usarse para optimizar las
posibilidades de uso y el rendimiento. Para optimizar un espacio de nombres, se puede:

Cambiar el nombre o mover una carpeta.

Deshabilitar referencias para una carpeta.

Especificar la duración de la memoria caché de referencia.

Configurar el sondeo de espacio de nombres.

Material de lectura adicional

Tema de Ayuda: Administración de Sistema de archivos distribuido: Ajuste de espacios de nombres DFS

Optimizar un espacio de nombres


Demostración: Configuración de destinos de carpeta

Demostración: Configuración de destinos de carpeta

Pregunta: ¿Qué tipos de rutas de acceso puede usar al crear un destino de carpeta nuevo?

Pregunta: ¿Qué clase de permisos necesita para agregar destinos de carpeta?


Lección 3: Configuración de la replicación DFS
Lección 3:

Configuración de la replicación DFS

Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con la
característica. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidad
específicos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología de
replicación eficaz.
¿Qué es la Replicación DFS?

¿Qué es la Replicación DFS?

Puntos clave

Para configurar DFS-R de modo eficaz, es importante comprender la terminología y los requisitos asociados con la
característica. Esta lección brinda información sobre los elementos, requisitos y observaciones de escalabilidad
específicos en cuanto se relacionan con DFS-R y, además, ofrece un proceso para configurar una topología de
replicación eficaz.

DFS-R usa un nuevo algoritmo de compresión denominado Compresión diferencial remota (RDC).

DFS-R detecta los cambios en el volumen supervisando el diario de número de secuencia de actualización
(USN) y replica los cambios una vez que se cierran los archivos.

DFS-R usa una carpeta provisional para agregar temporalmente un archivo antes de enviarlo o recibirlo.

DFS-R usa un protocolo de intercambio de vector de versión para determinar qué archivos deben sincronizarse.

Al modificar un archivo, únicamente se replican los bloques modificados y no el archivo en su totalidad.

DFS-R usa el método heurístico para la resolución de conflictos “prevalece el último en escribir” para los
archivos en conflicto (es decir, un archivo que se actualiza en varios servidores al mismo tiempo) y “prevalece el
primer creador” para los conflictos de nombre.

DFS-R cuenta con recuperación automática y puede recuperarse automáticamente a partir de los ajustes del
diario USN, la pérdida del diario USN o la pérdida de la base de datos de replicación DFS.

DFS-R usa un proveedor de Instrumental de administración de Windows (WMI) que brinda interfaces para
obtener información acerca de la configuración y la supervisión desde el servicio de Replicación DFS.

Pregunta: ¿Qué dos carpetas pueden ayudar a solucionar los problemas de replicación de archivos al usar DFS-R?

Pregunta: ¿Qué sucede cuando dos usuarios actualizan simultáneamente el mismo archivo en distintos servidores?

Material de lectura adicional

Introducción a la replicación DFS

Carpetas provisionales y carpetas Conflictos y eliminaciones


¿Qué son los grupos de replicación y las carpetas replicadas?

¿Qué son los grupos de replicación y las carpetas replicadas?

Puntos clave

Un grupo de replicación consiste en un conjunto de servidores miembro que participan de la replicación de una o
varias carpetas replicadas. Existen dos tipos principales de grupos de replicación:

Grupo de replicación multipropósito.

Grupo de replicación para la recopilación de datos.

Una carpeta replicada es una carpeta que está sincronizada entre cada servidor miembro.

Pregunta: ¿Cuáles son los dos tipos de grupos que pueden configurarse para la replicación?

Material de lectura adicional

Grupos de replicación y carpetas replicadas


Requisitos de replicación DFS

Requisitos de replicación DFS

Puntos clave

Para usar DFS-R, debe conocer los requisitos específicos. Entre estos requisitos, se incluyen:

Asegurarse de que el esquema de Active Directory haya sido actualizado para incluir los nuevos objetos de
replicación DFS.

Los servidores que participarán de la Replicación DFS deben ejecutar el sistema operativo Windows Server
2003 R2 o Windows Server 2008.

Los servidores de un grupo de replicación deben estar en el mismo bosque.

En los clústeres de servidores, las carpetas replicadas deben ubicarse en el almacenamiento local de un nodo.

El software antivirus debe ser compatible con la Replicación DFS.

Material de lectura adicional

Requisitos de la replicación DFS

Distributed File System Replication: Frequently Asked Questions (Replicación del sistema de archivos
distribuido: Preguntas más frecuentes)
Observaciones de escalabilidad para la replicación DFS

Observaciones de escalabilidad para la replicación DFS

Puntos clave

Use las siguientes observaciones de escalabilidad al implementar DFS-R:

Cada servidor puede ser miembro de hasta 256 grupos de replicación.

Cada grupo de replicación puede incluir hasta 256 carpetas replicadas.

Cada servidor puede tener hasta 256 conexiones (por ejemplo, 128 conexiones entrantes y 128 conexiones
salientes).

En cada servidor, la cantidad de grupos de replicación multiplicada por el número de carpetas replicadas
multiplicado por la cantidad de conexiones activas simultáneamente debe ser igual o inferior a 1.024.

Un grupo de replicación puede contener hasta 256 miembros.

Un volumen puede contener 8 millones de archivos replicados como máximo y un servidor puede incluir hasta 1
terabyte de archivos replicados.

El tamaño de archivo máximo probado es 64 gigabytes.

Material de lectura adicional

Directrices de escalabilidad de la replicación DFS

Understanding DFS Replication limits (Comprender los límites de replicación DFS)

More on DFS Replication limits (Más información acerca de los límites de replicación DFS)
Proceso de implementación de un grupo de replicación multipropósito

Proceso de implementación de un grupo de replicación multipropósito

Puntos clave

Se usa un grupo de replicación multipropósito para replicar datos entre dos o más servidores con el fin de compartir el
contenido general o publicar datos.

Puede usar el Asistente para nuevo grupo de replicación para realizar los siguientes pasos:

1. Seleccione el tipo de grupo de replicación que desea crear.

2. Especifique el nombre y el dominio.

3. Especifique los miembros del grupo de replicación.

4. Seleccione la topología. Las opciones son:

Concentrador y periferia

Malla completa

Sin topología

5. Especifique la programación y el ancho de banda del grupo de replicación.

6. Seleccione el servidor miembro principal.

7. Seleccione las carpetas que desea replicar.

8. Especifique la ruta de acceso local en otros miembros.

Una vez creado un grupo de replicación inicial, es posible modificar las carpetas replicadas, la conexión o la topología.
Además, se pueden delegar permisos para que otros administradores puedan administrar el grupo de replicación.

Pregunta: ¿Cuáles son las diferencias de seleccionar entre el grupo de replicación multipropósito y el grupo de
replicación para recopilación de datos?

Material de lectura adicional

Implementar la replicación DFS


Comprensión del proceso de replicación inicial

Comprensión del proceso de replicación inicial

Al configurar la replicación por primera vez, debe seleccionar un miembro principal que tenga los archivos por
replicarse más actualizados. Se considera que este servidor es autoritativo para cualquier resolución de conflictos que
se produzca cuando los miembros receptores tengan archivos más antiguos o nuevos en comparación con los
mismos archivos del miembro principal.

Los siguientes conceptos le ayudarán a comprender mejor el proceso de replicación inicial:

La replicación inicial no comienza inmediatamente.

La replicación inicial siempre ocurre entre el miembro principal y sus asociados de replicación de recepción.

Al recibir los archivos del miembro principal durante la replicación inicial, los miembros receptores que
contienen archivos que no se encuentran en el miembro principal mueven esos archivos a la carpeta
DfsrPrivado\PreExistente correspondiente.

Para determinar si los archivos en el miembro principal y en el miembro receptor son idénticos, la replicación
DFS comparará los archivos usando un algoritmo hash.

Tras la inicialización de la carpeta replicada, se elimina la designación “miembro principal”.

Material de lectura adicional

Qué esperar durante la replicación inicial


Generación de informes de diagnóstico y pruebas de propagación

Generación de informes de diagnóstico y pruebas de propagación

Puntos clave

Para ayudar a mantener y solucionar los problemas de DFS-R, se pueden generar informes de diagnóstico y realizar
pruebas de propagación.

Puede usar el Asistente para informes de diagnóstico para realizar el siguiente procedimiento:

Crear un informe de mantenimiento.

Iniciar una prueba de propagación.

Crear un informe de propagación.

Material de lectura adicional

Crear un informe de diagnóstico para la replicación DFS


Demostración: Implementación de la replicación DFS

Demostración: Implementación de la replicación DFS

Pregunta: ¿Dónde puede modificar la ruta de acceso para la carpeta provisional?

Pregunta: ¿Qué ficha muestra a los miembros remitentes y receptores del grupo de replicación?
Laboratorio: Configuración de DFS

Laboratorio: Configuración de DFS

Objetivos

Instalar el servicio de función Sistema de archivos distribuido

Crear un espacio de nombres DFS

Configurar destinos de carpeta y replicación de carpeta

Ver los informes de diagnóstico

Información de inicio de sesión

Máquinas virtuales: 6822A-NYC-DC1 y 6822A-NYC-SVR1

Nombre de usuario: WoodgroveBank\Administrador

Contraseña: Pa$$w0rd

Escenario

Es un especialista en tecnología de Servicios de infraestructura de Windows para Woodgrove Bank. Para simplificar el
acceso a los archivos para los usuarios y brindar alta disponibilidad y redundancia, implementará una solución DFS
para una cantidad de recursos compartidos distintos. Para este proyecto, debe llevar a cabo las siguientes tareas:

Instalar el servicio de función Sistema de archivos distribuido para incluir los espacios de nombres DFS y la
replicación DFS.

Crear un espacio de nombres DFS basado en dominio denominado CorpDocs usando NYC-DC1 y NYC-SVR1
como los servidores host de espacio de nombres.

Agregar las siguientes Carpetas en el espacio de nombres CorpDocs:

HRPlantillas: destino de carpeta ubicado en NYC-DC1

ArchivosdeDirectivas: destino de carpeta ubicado en NYC-SVR1

Configurar la disponibilidad y la redundancia agregando destinos de carpeta adicionales y replicando los


destinos de carpeta en el espacio de nombres CorpDocs.

Brindar informes sobre el mantenimiento de la replicación de la carpeta CorpDocs.


Ejercicio 1: Instalación del servicio de función Sistema de archivos
distribuido

Ejercicio 1: Instalación del servicio de función Sistema de archivos distribuido

En este ejercicio, instalará el servicio de función Sistema de archivos distribuido tanto en NYC-DC1 como en
NYC-SVR1. Esto ofrecerá redundancia para el espacio de nombres CorpDocs y permitirá a los clientes comunicarse
con el servidor de espacio de nombres dentro de su propio sitio.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Iniciar cada máquina virtual y luego iniciar sesión.

2. Deshabilitar la Conexión de área local 2 en NYC-SVR1.

3. Instalar el servicio de función Sistema de archivos distribuido en NYC-DC1.

4. Instalar el servicio de función Sistema de archivos distribuido en NYC-SVR1.

Tarea 1: Iniciar cada máquina virtual y luego iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia el Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Deshabilitar la Conexión de área local 2 en NYC-SVR1

En NYC-SVR1, deshabilite el adaptador de red denominado Conexión de área local 2.

Tarea 3: Instalar el servicio de función Sistema de archivos distribuido en NYC-DC1

1. En NYC-DC1, inicie Administrador del servidor.

2. Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuido
incluyendo las opciones Espacio de nombres DFS y Replicación DFS.

3. Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,
Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.

Tarea 4: Instalar el servicio de función Sistema de archivos distribuido en NYC-SVR1

1. En NYC-SVR1, inicie Administración del servidor.

2. Use Asistente para agregar funciones para agregar el servicio de función Sistema de archivos distribuido
incluyendo las opciones Espacio de nombres DFS y Replicación DFS.

3. Usando el panel Funciones del Administrador del servidor, compruebe que Servidor de archivos,
Sistema de archivos distribuido, Espacio de nombres DFS y Replicación DFS estén instalados.
Ejercicio 2: Creación de un espacio de nombres DFS

Ejercicio 2: Creación de un espacio de nombres DFS

En este ejercicio se creará el espacio de nombres DFS CorpDocs. Además, se configurará tanto NYC-DC1 como
NYC-SVR1 para hospedar el espacio de nombres CorpDocs a fin de brindar redundancia.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Elevar el nivel funcional del dominio.

2. Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo.

3. Agregar un servidor de espacio de nombres adicional para hospedar el espacio de nombres.

Tarea 1: Elevar el nivel funcional del dominio

En NYC-DC1, abra Usuarios y equipos de Active Directory y eleve el nivel funcional del dominio a Windows
Server 2008.

Tarea 2: Usar el Asistente para nuevo espacio de nombres para crear un espacio de nombres nuevo

1. En NYC-DC1, inicie la consola Administración de DFS.

2. Use Asistente para nuevo espacio de nombres para crear un espacio de nombres con las siguientes
opciones:

Servidor de espacio de nombres: NYC-DC1

Nombre y configuración del espacio de nombres: CorpDocs

Tipo de espacio de nombres: espacio de nombres basado en un dominio

3. En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombres y luego haga clic en
\\WoodgroveBank.com\CorpDocs.

4. Compruebe que el espacio de nombres CorpDocs haya sido creado en NYC-DC1.

Tarea 3: Agregar un servidor de espacio de nombres adicional para hospedar el espacio de nombres

1. En NYC-DC1, en la consola Administración de DFS, use Asistente para agregar un servidor de espacio
de nombres para agregar un nuevo servidor de espacio de nombres con las siguientes opciones:

Servidor de espacio de nombres: NYC-SVR1

Haga clic en Sí para iniciar el servicio Sistema de archivos distribuido.

2. En el panel izquierdo, haga clic en el signo Más junto a Espacio de nombre y luego haga clic en
\\WoodgroveBank.com\CorpDocs.
Ejercicio 3: Configuración de destinos de carpeta y replicación de carpeta

Ejercicio 3: Configuración de destinos de carpeta y replicación de carpeta

En este ejercicio, creará inicialmente destinos de carpeta en dos servidores diferentes y luego comprobará que el
espacio de nombres CorpDocs funcione correctamente. Luego, agregará disponibilidad y redundancia creando
destinos de carpeta adicionales y configurando la replicación.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Crear la carpeta PlantilladeRH y configurar un destino de carpeta en NYC-DC1.

2. Crear la carpeta ArchivosdeDirectivas y configurar un destino de carpeta en NYC-SVR1.

3. Comprobar la funcionalidad del espacio de nombres CorpDocs.

4. Crear destinos de carpeta adicionales para la carpeta PlantilladeRH y luego configurar la replicación de
carpetas.

5. Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectivas y luego configurar la replicación
de carpetas.

Tarea 1: Crear la carpeta PlantillasdeRH y configurar un destino de carpeta en NYC-DC1

1. En NYC-DC1, en la consola Administración de DFS, haga clic con el botón secundario en


\\WoodgroveBank.com\CorpDocs.

2. Cree una nueva carpeta denominada PlantillasdeRH.

3. Agregue un nuevo destino de carpeta llamado ArchivosdePlantillasdeRH usando las siguientes opciones:

Haga clic en el botón Nuevas carpetas compartidas.

Nombre del recurso compartido: ArchivosdePlantillasdeRH

Ruta de acceso local de la carpeta compartida: C:\ArchivosdePlantillasdeRH

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura

4. En el árbol de consola, haga clic en \\WoodgroveBank.com\CorpDocs.

5. En el panel de detalles, haga clic en la ficha Espacio de nombre. Tenga en cuenta que PlantillasdeRH se
enumera como una entrada en el espacio de nombres.

6. En el árbol de consola, expanda \\WoodgroveBank.com\CorpDocs y luego haga clic en PlantillasdeRH En el


panel de detalles, observe que en la ficha Destinos de carpeta haya un destino de carpeta configurado.

7. Haga clic en la ficha Replicación y observe que la replicación no esté configurada.

Tarea 2: Crear la carpeta ArchivosdeDirectivas y configurar un destino de carpeta en NYC-SVR1

1. En NYC-DC1, en la consola Administración de DFS, haga clic con el botón secundario en


\\WoodgroveBank.com\CorpDocs.

2. Cree una nueva carpeta denominada ArchivosdeDirectivas.

3. Agregue un nuevo destino de carpeta denominado ArchivosdeDirectiva usando las siguientes opciones:

Haga clic en el botón Nueva carpeta compartida.

Nombre del recurso compartido: ArchivosdeDirectiva

Ruta de acceso local de la carpeta compartida: C:\ArchivosdeDirectiva

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura.
4. En el árbol de consola, expanda \\WoodgroveBank.com\CorpDocs y luego haga clic en
ArchivosdeDirectiva. En el panel de detalles, observe que en la ficha Destinos de carpeta haya un destino
de carpeta configurado.

Tarea 3: Comprobar la funcionalidad del espacio de nombres CorpDocs

1. En NYC-DC1, haga clic en Inicio y luego en Ejecutar.

2. Ingrese al espacio de nombres \\WoodgroveBank\CorpDocs y compruebe que tanto PlantillasdeRH como


ArchivosdeDirectiva sean visibles. (Si no son visibles, demorará aproximadamente cinco minutos en finalizar).

3. En la carpeta PlantillasdeRH, cree un nuevo archivo Documento de texto enriquecido denominado


SolicituddeVacaciones.

4. En la carpeta ArchivosdeDirectiva, cree un nuevo archivo Documento de texto enriquecido denominado


OtrasDirectivas.

Tarea 4: Crear destinos de carpeta adicionales para la carpeta PlantillasdeRH y luego configurar la replicación de carpetas

1. En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientes
opciones:

Ruta de acceso a destino de carpeta: \\NYC-SVR1\PlantillasdeRH

Crear recurso compartido: Sí

Ruta de acceso local de la carpeta compartida: C:\ PlantillasdeRH

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura

Grupo de replicación: Sí

Nombre del grupo de replicación: woodgrovebank.com\corpdocs\PlantillasdeRH

Nombre de carpeta replicada: PlantillasdeRH

Miembro principal: NYC-DC1

Topología: Malla completa

Programación de replicación: predeterminada

2. En el árbol de consola, expanda el nodo Replicación y luego haga clic en woodgrovebank.com\corpdocs


\PlantillasdeRH.

3. En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados y
habilitados.

Tarea 5: Crear destinos de carpeta adicionales para la carpeta ArchivosdeDirectiva y luego configurar la replicación de carpetas

1. En NYC-DC1, en la consola Administración de DFS, agregue un destino de carpeta usando las siguientes
opciones:

Ruta de acceso a destino de carpeta: \\NYC-DC1\ArchivosdeDirectiva

Crear recurso compartido: Sí

Ruta de acceso local de la carpeta compartida: C:\ArchivosdeDirectiva

Permisos de carpeta compartida: Los administradores tienen acceso total; otros usuarios tienen
permisos de sólo lectura

Grupo de replicación: Sí

Nombre del grupo de replicación: woodgrovebank.com\corpdocs\ArchivosdeDirectiva

Nombre de carpeta replicada: ArchivosdeDirectiva


Miembro principal: NYC-SVR1

Topología: Malla completa

Programación de replicación: predeterminada

2. En el árbol de consola, expanda el nodo Replicación y luego haga clic en woodgrovebank.com\corpdocs


\ArchivosdeDirectiva.

3. En el panel de detalles, en la ficha Pertenencias, compruebe que NYC-DC1 y NYC-SVR1 estén enumerados y
habilitados.
Ejercicio 4: Visualización de informes de diagnóstico para las carpetas
replicadas

Ejercicio 4: Visualización de informes de diagnóstico para las carpetas replicadas

En este ejercicio, generará un informe de diagnóstico para ver el estado de replicación de carpetas.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Crear un informe de diagnóstico para woodgrovebank.com\corpdocs\plantillasderh.

2. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Crear un informe de diagnóstico para woodgrovebank.com\corpdocs\PlantillasdeRH

1. En NYC-DC1, cree un informe de diagnóstico para woodgrovebank.com\corpdocs\plantillasderh en base a


las siguientes opciones:

Tipo de informe o prueba de diagnóstico: Informe de mantenimiento

Ruta de acceso y nombre: predeterminado

Miembros para incluir: NYC-DC1 y NYC-SVR1

Opciones: Archivos pendientes habilitado; Número de archivos replicados habilitado

2. Lea el informe y observe los errores o las advertencias. Una vez que haya finalizado, cierre la ventana Microsoft
Internet Explorer®.

3. Cree un informe de diagnóstico para el grupo de replicación ArchivosdeDirectiva. Lea el informe y observe
los errores o las advertencias. Una vez que haya finalizado, cierre la ventana Internet Explorer. Tenga en cuenta
que pueden informarse errores si la replicación no ha comenzado o finalizado aún.

Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cómo puede usarse DFS en la implementación de Servicios de archivo?

2. ¿Qué tipo de tecnología de compresión se usa para DFS en Windows Server 2008?

3. ¿Cuáles son los tres escenarios principales usados para DFS?

4. ¿Cuál es la diferencia entre un espacio de nombres DFS basado en dominio y un espacio de nombres DFS
independiente?

5. ¿Cuál es el método de orden predeterminado para las referencias de clientes a destinos de carpeta?

6. ¿Qué hace la configuración de Miembro principal cuando se configura la replicación?

7. ¿Qué carpeta se usa para almacenar en la memoria caché archivos y carpetas en los que se realizan cambios
conflictivos en dos o más miembros?

Puertos de red usados por DFS

La siguiente tabla describe los puertos de red que usa DFS:

Nombre del servicio Equipos relevantes UDP TCP

Servicio de nombres NetBIOS Controladores de dominio, servidores raíz que no sean controladores 137 137
de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta

Servicio de datagramas de Controladores de dominio, servidores raíz que no sean controladores 138
NetBIOS de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta

Servicio de sesión de NetBIOS Controladores de dominio, servidores raíz que no sean controladores 139
de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta
Nombre del servicio Equipos relevantes UDP TCP

Servidor LDAP Controladores de dominio 389 389

Asignador de extremos de Controladores de dominio 135


llamadas a procedimiento
remoto (RPC)

Bloque de mensajes del Controladores de dominio, servidores raíz que no sean controladores 445 445
servidor (SMB) de dominio, servidores que actúen como destinos de carpeta,
equipos cliente que actúen como destinos de carpeta

Herramientas

La siguiente tabla enumera las herramientas que pueden usarse para configurar y administrar DFS:

Herramienta Usar para Dónde encontrarla

Dfsutil Realizar operaciones avanzadas en En un servidor de espacio de nombres, escriba


espacios de nombres DFS. Dfsutil en un símbolo del sistema.

Dfscmd.exe Generar secuencia de comandos para En un servidor de espacio de nombres, escriba


tareas DFS básicas, tales como configurar Dfscmd en un símbolo del sistema.
raíces y destinos DFS.

Administración Realizar tareas relacionadas con espacios Haga clic en Inicio, luego elija Herramientas
de DFS de nombres y replicación DFS. administrativas y finalmente haga clic en
Administración de DFS.
Módulo 12: Configuración y administración de Tecnologías de
almacenamiento
Módulo 12

Configuración y administración de Tecnologías de almacenamiento


El almacenamiento de archivos es importante al administrar entornos de Microsoft® Windows Server®.Existen
desafíos significativos al intentar analizar, planear e implementar soluciones de almacenamiento. El sistema operativo
Windows Server® 2008 incluye varias herramientas para ayudar a configurar y administrar tecnologías de
almacenamiento. Este módulo le ayudará a comprender los desafíos comunes de administración de capacidad y
almacenamiento y a aprender acerca de las tecnologías de almacenamiento que pueden configurarse y administrarse
para abordar problemas de almacenamiento de archivos. Este módulo también describe cómo analizar tendencias de
uso y cómo implementar soluciones para cumplir con los requisitos de usuario, cumpliendo al mismo tiempo con los
estándares reglamentarios de la directiva de la compañía y del sector.

Lección 1: Descripción general de la administración de almacenamiento de Windows Server 2008


Lección 2: Administración de almacenamiento usando Administrador de recursos del servidor de archivos
Lección 3: Configuración de Administración de cuotas
Lección 4: Implementación de Filtrado de archivos
Lección 5: Administración de Informes de almacenamiento
Laboratorio: Configuración y administración de Tecnologías de almacenamiento
Lección 1: Descripción general de la administración de almacenamiento de
Windows Server 2008
Lección 1:

Descripción general de la administración de almacenamiento de


Windows Server 2008

La administración de almacenamiento del sistema operativo Windows Server 2008 y Administrador de recursos del
servidor de archivos son tecnologías de almacenamiento que pueden configurarse y administrarse para abordar
desafíos comunes de administración de capacidad y almacenamiento en el entorno de empresa.

Luego de completar la lección, tendrá un conocimiento sólido acerca de cuáles son estos desafíos y podrá describir
cómo usar Administrador de recursos del servidor de archivos y la administración de almacenamiento del sistema
operativo Windows Server 2008 para solucionar estos problemas.
Desafíos comunes de la administración de capacidad

Desafíos comunes de la administración de capacidad

Puntos clave

La administración de capacidad es el proceso de planeación, análisis, medición y optimización de los métodos para
responder al aumento de las demandas de almacenamiento de datos de la organización. A medida que aumenta la
necesidad de almacenamiento y acceso, también aumenta la necesidad de administración de capacidad. Realizar un
seguimiento de cuánta capacidad de almacenamiento queda disponible, cuánto espacio de almacenamiento se
necesita para una expansión futura y cómo se usa el almacenamiento del entorno le permite cumplir con los requisitos
de capacidad de almacenamiento de su organización.

La administración de capacidad es también un intento de controlar el uso indebido del almacenamiento corporativo.
Muchos usuarios tienden a almacenar grandes archivos multimedia personales, como MP3 o fotografías digitales, así
como también otro tipo de datos, tales como protectores de pantalla y juegos.
Desafíos comunes de la administración de almacenamiento

Desafíos comunes de la administración de almacenamiento

Puntos clave

Luego de la administración de capacidad, el siguiente desafío es administrar los tipos de archivo que están
almacenados. Muchas organizaciones almacenan entre 60 y 100 por ciento de sus datos de trabajo, incluyendo los
mensajes de correo electrónico, documentos de Office y bases de datos de aplicaciones de línea de negocio.
Determinada información es crítica para el funcionamiento de la empresa, mientras que otra no lo es tanto. Con
frecuencia, la información crítica debe mantenerse en un estado que le permita estar siempre disponible. Es posible
que algunos datos también tengan requisitos específicos de retención debido a los estándares reglamentarios o del
sector.

Los archivos y programas no aprobados también crean problemas de administración de almacenamiento. Muchos
usuarios tienden a almacenar archivos y programas no relacionados con trabajo que pueden consumir el
almacenamiento. La administración de almacenamiento intenta controlar el uso indebido del espacio corporativo.

Pregunta: ¿Cuáles son algunos de los desafíos de almacenamiento en su organización?

Pregunta: Considere las directivas de retención internas. ¿Se implementan estas directivas debido a requisitos
internos o externos?

Pregunta: ¿La organización tiene requisitos de almacenamiento en aumento continuo?


Resolución de desafíos de administración de capacidad y almacenamiento

Resolución de desafíos de administración de capacidad y almacenamiento

Puntos clave

Las empresas en la era digital están ligadas a la información, que debe almacenarse. Como profesional de tecnología
de la información (TI), cumplir con los requisitos de almacenamiento de su organización presenta desafíos constantes.
Para resolver estos desafíos deberá:

Analizar cómo se usa el almacenamiento

Definir directivas de administración de recursos de almacenamiento

Adquirir herramientas para implementar las directivas


¿Qué es Administrador de recursos del servidor de archivos?

¿Qué es Administrador de recursos del servidor de archivos?

Puntos clave

FSRM es un conjunto completo de herramientas que permite a los administradores resolver los siguientes desafíos
clave de administración del servidor de archivos:

Administración de capacidad. Supervisa los patrones y niveles de uso.

Administración de directivas. Restringe los archivos que se almacenan en el servidor.

Administración de cuotas. Limita cuántos datos deben almacenarse en el servidor.

Informes. Brinda informes de uso de capacidad de almacenamiento para cumplir con los requisitos
reglamentarios que otorgan a los administradores, los grupos de seguridad y el personal administrativo la
capacidad de realizar funciones de supervisión y auditoría.
Lección 2: Administración de almacenamiento usando Administrador de
recursos del servidor de archivos

Lección 2:

Administración de almacenamiento usando Administrador de recursos


del servidor de archivos

Se usa FSRM para configurar la administración de cuotas, implementar el filtrado de archivos y generar informes de
almacenamiento. Esta lección brinda información acerca de cómo administrar el almacenamiento usando FSRM.
Funciones de FSRM

Funciones de FSRM

Puntos clave

Administrador de recursos del sistema de archivos brinda varias características para llevar a cabo tareas de
administración de almacenamiento. La siguiente tabla describe las funciones de FSRM:

Función Descripción

Crear cuotas para limitar el Permite establecer la cantidad máxima de espacio asignada a un
espacio permitido para un usuario. También permite notificar al administrador si se excede la
volumen o carpeta cuota.

Generar cuotas automáticamente Permite especificar que las cuotas se generen dinámicamente cuando
se crean subcarpetas. Esto permite administrar el volumen de
almacenamiento sin tener que aplicar cuotas cada vez que se modifica
una estructura de directorio.

Habilita el filtrado de archivos basado en extensiones de archivo. Las


Crear filtros de archivos categorías comunes de archivo pueden agruparse para crear grupos
de archivos.

Supervisar los intentos de Habilita a los administradores para que se los notifique cuando los
guardar archivos no autorizados usuarios intenten guardar un tipo de archivo no aprobado.

Definir plantillas de cuota y de


filtrado de archivos Permite personalizar e implementar una directiva de almacenamiento
detallada de la compañía.

Generar informes de Permite crear informes a intervalos regulares para revisión o crear
almacenamiento programados o a informes a petición, lo cual permite generar un informe rápidamente
petición para su uso inmediato.

Material de lectura adicional


Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Instalación del servicio de función FSRM

Demostración: Instalación del servicio de función FSRM


Componentes de la consola FSRM

Componentes de la consola FSRM

Puntos clave

La consola FSRM permite visualizar todos los recursos locales de almacenamiento desde una única consola y crear y
aplicar directivas que controlan estos recursos. Las tres herramientas incluidas en la consola FSRM son:

Nodo Administración de cuotas

Nodo Administración de filtrado de archivos

Nodo Administración de informes de almacenamiento

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Opciones de configuración de FSRM

Opciones de configuración de FSRM

Puntos clave

Al instalar FSRM, se configurará la consola FSRM automáticamente, que se encuentra disponible en la carpeta
Herramientas administrativas y en la consola Administrador de servidores. Al abrir FSRM, se visualizarán tres nodos:
Administración de cuotas, Administración de filtrado de archivos y Administración de informes de almacenamiento.

El nodo Administración de cuotas permite:

Crear, administrar y obtener información acerca de cuotas, que establecen un límite de espacio en un volumen
o carpeta.

Crear y administrar plantillas de cuota para simplificar la administración de cuotas.

Crear y administrar cuotas automáticas.

El nodo Administración de filtrado de archivos permite:

Crear, administrar y obtener información acerca de filtros de archivos, que bloquean tipos de archivos
seleccionados de un volumen o carpeta.

Crear excepciones al filtrado de archivos para invalidar determinadas reglas de filtrado de archivos.

Crear y administrar plantillas de filtro de archivos para simplificar la administración de filtrado de archivos.

Crear y administrar grupos de archivos.

Se usa el nodo Administración de informes de almacenamiento para configurar y programar distintos tipos de informes
de almacenamiento y crear informes a petición.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Configuración de opciones de FSRM

Demostración: Configuración de opciones de FSRM


Lección 3: Configuración de Administración de cuotas
Lección 3:

Configuración de Administración de cuotas

Se usa Administración de cuotas para crear cuotas que limiten el espacio permitido para un volumen o carpeta y para
generar notificaciones cuando los límites de cuota se alcanzan o exceden. FSRM brinda plantillas de cuota que se
pueden aplicar fácilmente a nuevos volúmenes o carpetas y que pueden usarse en toda la organización. Además, se
pueden aplicar plantillas de cuota de manera automática a todas las carpetas existentes en un volumen o carpeta, así
como también a cualquier subcarpeta nueva que cree en el futuro.
¿Qué es Administración de cuotas?

¿Qué es Administración de cuotas?

Puntos clave

En Administrador de recursos del servidor de archivos, se pueden crear cuotas que limiten el espacio permitido para
un volumen o carpeta y luego generar notificaciones cuando los límites de cuota se alcanzan o exceden. Al crear una
cuota para un volumen o carpeta, se limitará el espacio en disco asignado. El límite de cuota se aplica a todo el
subárbol de carpetas.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Cuotas de FSRM frente a Cuotas de disco NTFS

Cuotas de FSRM frente a Cuotas de disco NTFS

Puntos clave

Los sistemas operativos Microsoft Windows® 2000 Server, Windows Server® 2003 y Windows Server 2008 son
compatibles con las cuotas de disco, que pueden usarse para rastrear y controlar el uso de disco por usuario y/o por
volumen.

La siguiente tabla describe las ventajas de usar las herramientas de administración de cuotas de FSRM en
comparación con las cuotas de disco NTFS:

Características de cuota Cuotas de FSRM Cuotas de disco NTFS

Seguimiento de cuotas Por carpeta o por volumen Por usuario/por volumen

Cálculo de uso de disco Espacio de disco real Tamaño de archivo lógico

Correo electrónico, informes personalizados,


Mecanismos de notificación Sólo registros de eventos
ejecución de comandos, registros de eventos

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué son las Plantillas de cuota?

¿Qué son las Plantillas de cuota?

Puntos clave

Las plantillas de cuota simplifican las tareas asociadas con la administración de cuotas. Si las cuotas se basan en una
plantilla de cuota y luego se decide cambiar la configuración de cuota, es posible simplemente actualizar la plantilla de
cuota y luego elegir actualizar automáticamente todas las cuotas que estén basadas en esta plantilla. Por ejemplo, se
podría elegir otorgar a cada usuario espacio adicional en el servidor de almacenamiento. Al actualizar la plantilla de
cuota, se actualizarán automáticamente todas las cuotas basadas en esta plantilla.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Creación y modificación de una cuota

Creación y modificación de una cuota

Puntos clave

Su puede usar el nodo Administración de cuotas de FSRM para crear y modificar cuotas. Al crear una cuota para un
volumen o carpeta, se limitará el espacio en disco asignado a ese volumen o carpeta. El nodo Administración de
cuotas de FSRM incluye todas las opciones necesarias para trabajar con cuotas.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Supervisión de uso de cuotas

Supervisión de uso de cuotas

Puntos clave

Luego de configurar y aplicar cuotas a los recursos compartidos de archivos o volúmenes, es importante comprender
cómo supervisar el uso de disco para cumplir de manera eficaz con los requisitos de almacenamiento continuo en su
organización.

Además de la información incluida en las notificaciones, se puede supervisar el uso de cuota al:

Visualizar la información de cuota.

Generar un informe de uso de cuotas.

Crear cuotas de advertencia.

Nota: Las cuotas reducen el rendimiento de entrada/salida (E/S) por segundo del subsistema de almacenamiento por
una pequeña cantidad (10 por ciento o menor). Los servidores que aplican cuotas a más de 10.000 carpetas pueden
experimentar una sobrecarga de rendimiento mayor.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Cómo crear y administrar cuotas

Demostración: Cómo crear y administrar cuotas


Lección 4: Implementación de Filtrado de archivos
Lección 4:

Implementación de Filtrado de archivos

La directiva de seguridad podría prohibir que determinados tipos de archivos se coloquen en servidores de la
compañía y quizá desee que se lo notifique cuando un tipo de archivo determinado se guarde en un servidor de
archivos. Esta lección explica los conceptos relacionados con el filtrado de archivos que puede usarse para administrar
los tipos de archivos que los usuarios pueden guardar en servidores de archivos corporativos.
¿Qué es el Filtrado de archivos?

¿Qué es el Filtrado de archivos?

Puntos clave

Muchas organizaciones enfrentan problemas con usuarios de red que almacenan datos no autorizados o personales
en servidores de archivos corporativos. Esto no sólo implica un uso indebido del valioso espacio de almacenamiento,
sino que también aumenta la duración del proceso de copia de seguridad, podría ocasionar problemas de
cumplimiento de seguridad e incluso violar la privacidad dentro de la compañía.

También se puede implementar un proceso de filtrado para notificarlo por correo electrónico cuando se almacena un
tipo de archivo no autorizado en una carpeta compartida. El mensaje de correo electrónico puede incluir información tal
como el nombre del usuario que almacenó el archivo y su ubicación exacta de manera tal que puedan tomarse los
pasos de precaución correspondientes.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué son los grupos de archivos?

¿Qué son los grupos de archivos?

Puntos clave

Antes de comenzar a trabajar con los filtros de archivos, debe comprender la función que cumplen los grupos de
archivos al determinar el proceso de filtrado de archivos. Un grupo de archivos se usa para definir un espacio de
nombres para un filtro de archivos, una excepción al filtro de archivos o un informe de almacenamiento.

Un grupo de archivos consiste en un conjunto de patrones de nombre de archivo, que se agrupan en dos grupos:
Archivos para incluir y archivos para excluir:

Archivos para incluir. Estos archivos deben incluirse en el grupo.

Archivos para excluir. Estos archivos no deben incluirse en el grupo.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una Excepción al filtro de archivos?

¿Qué es una Excepción al filtro de archivos?

Puntos clave

En ocasiones será necesario permitir excepciones al filtrado de archivos. Por ejemplo, es posible que desee bloquear
archivos de vídeo de un servidor de archivos pero necesitará permitirle a su grupo de entrenamiento que guarde los
archivos de vídeo para el aprendizaje asistido por PC. Para permitir archivos bloqueados por otros filtros de archivos,
cree una excepción al filtro de archivos.

Una excepción al filtro de archivos es un filtro de archivos que invalida cualquier filtrado de archivos que, de otra
manera, se aplicaría a una carpeta y a todas sus subcarpetas en una ruta de excepción designada. En otras palabras,
la excepción al filtro de archivos crea una excepción a cualquier regla derivada de una carpeta principal.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para Administrador
de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una Plantilla de filtro de archivos?

¿Qué es una Plantilla de filtro de archivos?

Puntos clave

Para simplificar la administración del filtro de archivos se recomienda basar los filtros de archivo en plantillas de filtro
de archivos. Una plantilla de filtro de archivos define lo siguiente:

Grupos de archivos para bloquear.

Tipos de filtrado para realizar.

Notificaciones para generar.

Al crear filtros de archivos exclusivamente a partir de plantillas, podrá administrar los filtros de archivos de manera
central actualizando las plantillas en lugar de los filtros de archivos individuales.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Demostración: Implementación de Filtrado de archivos

Demostración: Implementación de Filtrado de archivos


Lección 5: Administración de Informes de almacenamiento
Lección 5:

Administración de Informes de almacenamiento

Para asistir en la planeación de capacidad, debe poder configurar y generar informes extensos basados en números
actuales de almacenamiento. En esta lección se describe cómo configurar, programar y generar informes de
almacenamiento usando FSRM.
¿Qué son los Informes de almacenamiento?

¿Qué son los Informes de almacenamiento?

Puntos clave

Los informes de almacenamiento brindan información acerca del uso de archivos en un servidor de archivos. La
característica Administración de informes de almacenamiento FSRM permite generar informes de almacenamiento a
petición y programar informes de almacenamiento periódicos que ayuden a identificar las tendencias en el uso de
disco. También se pueden crear informes para supervisar intentos de almacenar archivos no autorizados para todos
los usuarios o un grupo seleccionado de usuarios.

La siguiente tabla describe los tipos de informes de almacenamiento en FSRM:

Informe Description

Enumera los archivos que superan el tamaño especificado. Use este informe para
Archivos grandes identificar archivos que consumen un espacio excesivo en el disco del servidor.

Archivos por propietario Enumera los archivos agrupados por propietario. Use este informe para analizar los
patrones de uso del servidor y para identificar usuarios que usan una gran cantidad
de espacio en disco.

Archivos por grupo de Enumera los archivos que pertenecen a grupos de archivos especificados. Use
archivos este informe para identificar patrones de uso de grupos de archivos y para
identificar grupos de archivos que ocupan una gran cantidad de espacio en disco.
Esto le permitirá determinar qué filtros de archivos debe configurar en el servidor.

Archivos duplicados Enumera los archivos duplicados (archivos con el mismo nombre, tamaño y fecha de
última modificación). Use este informe para identificar y recuperar el espacio en
disco perdido debido a archivos duplicados.

Archivos no usados Enumera archivos a los que no se tuvo acceso durante un número especificado de
recientemente días. Este informe puede ayudar a identificar los datos usados con poca frecuencia
que podrían almacenarse y quitarse del servidor.
Archivos no usados
recientemente Enumera archivos a los que se tuvo acceso dentro de un número especificado de
días. Use este informe para identificar los datos usados con frecuencia que deberían
tener una alta disponibilidad.

Uso de cuotas Enumera las cuotas para las que el uso de cuotas supera un porcentaje
especificado. Use este informe para identificar cuotas con niveles de uso elevados,
de manera tal que puedan llevarse a cabo las acciones correspondientes. Este
informe incluye cuotas creadas sólo para volúmenes y carpetas en FSRM: No incluye
cuotas aplicadas a volúmenes en sistemas de archivos NTFS.

Auditoría de filtrado de Enumera las violaciones al filtrado de archivos que han ocurrido en el servidor
archivos durante un número determinado de días. Use este informe para identificar individuos
o aplicaciones que violan la directiva de filtrado de archivos.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
¿Qué es una tarea de informes?

¿Qué es una tarea de informes?

Puntos clave

Para generar un conjunto de informes de manera regular, se debe programar una tarea de informes. La tarea de
informes permite especificar lo siguiente:

Los volúmenes y carpetas sobre los que se informará.

Qué informes se generarán.

Qué parámetros se usarán.

Con qué frecuencia se generarán los informes.

Qué formatos de archivo se usarán al guardar informes.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Generación de informes a petición

Generación de informes a petición

Puntos clave

Durante las operaciones diarias, quizá desee generar informes a petición para analizar los aspectos del uso actual del
disco del servidor. Use la acción Generar informes ahora para generar uno o varios informes. Los datos actuales se
agrupan antes de generar los informes.

Material de lectura adicional

Step-by-Step Guide for File Server Resource Manager in Windows Server 2008 (Guía paso a paso para
Administrador de recursos del servidor de archivos en Windows Server 2008)
Laboratorio: Configuración y administración de Tecnologías de
almacenamiento

Laboratorio: Configuración y administración de Tecnologías de


almacenamiento

Objetivos

Instalar el servicio de función FSRM

Configurar cuotas de almacenamiento

Configurar filtrado de archivos

Generar informes de almacenamiento usando FSRM

Información de inicio de sesión

Máquinas virtuales: 6822A-NYC-DC1 y 6822A-NYC-SVR1

Nombre de usuario: Administrador

Contraseña: Pa$$w0rd

Escenario

Como especialista en tecnología de Servicios de infraestructura de Windows (WIS), se le ha solicitado que configure
el almacenamiento en un servidor para cumplir con los estándares corporativos. Debe crear el almacenamiento con
una administración mínima a largo plazo usando filtrado de archivos y administración de cuotas.
Ejercicio 1: Instalación del servicio de función FSRM

Ejercicio 1: Instalación del servicio de función FSRM

En este ejercicio se instalará el servicio de función FSRM.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales NYC-DC1 y NYC-SVR1.

2. Instalar la función del servidor FSRM en NYC-SVR1.

Tarea 1: Iniciar las máquinas virtuales NYC-DC1 y NYC-SVR1

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. Inicie sesión en ambas máquinas virtuales como Woodgrovebank\Administrador usando la contraseña


Pa$$w0rd.

5. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Instalar la función del servidor FSRM en NYC-SVR1

Usando Administrador del Servidor, instale el servicio de función Administrador de recursos del sistema de
archivos. El servicio de función esta ubicado debajo de la función Servicios de archivo.
Ejercicio 2: Configuración de cuotas de almacenamiento

Ejercicio 2: Configuración de cuotas de almacenamiento

En este ejercicio, deberá configurar una plantilla de cuota que otorgue a los usuarios un máximo de 100 MB de datos
en sus carpetas de usuario. Cuando los usuarios excedan el 85 por ciento de la cuota o cuando intenten agregar
archivos que superen los 100 MB, deberá registrarse un evento en Visor de eventos en el servidor.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Crear una plantilla de cuota.

2. Configurar una cuota basada en la plantilla de cuota.

3. Probar que la cuota funcione generando varios archivos grandes.

Tarea 1: Crear una plantilla de cuota

En la consola Administrador de recursos del servidor de archivos, use el nodo Plantillas de cuota para
configurar una plantilla que establezca un límite máximo de 100 MB en el tamaño máximo de carpeta.
Asegúrese de que esta plantilla también notifique a Visor de eventos cuando la carpeta alcance el 85 por ciento
y el 100 por ciento de capacidad.

Tarea 2: Configurar una cuota basada en la plantilla de cuota

1. Use la consola Administrador de recursos del servidor de archivos y el nodo Cuotas para crear una cuota
en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios usando la plantilla de cuota creada en la Tarea
1.

2. Cree una carpeta adicional denominada Usuario4 en la carpeta D:\ArchivosdeLaboratorio\Módulo12


\Usuarios y asegúrese de que la nueva carpeta aparezca en la lista de cuotas.

Tarea 3: Probar que la cuota funcione generando varios archivos grandes

1. Abra el símbolo del sistema y use el comando fsutil file createnew file1.txt 89400000 para crear un archivo
en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios\Usuario1.

2. Compruebe Visor de eventos en busca de una ID de evento 12325.

3. Pruebe que la cuota funcione intentando crear un archivo de 16.400.000 bytes y luego presione Entrar.

4. Habilite la compresión de carpetas NTFS para la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios.


Compruebe para ver cuál es el efecto en la consola Cuota. Intente crear nuevamente un archivo de 16.400.000
bytes.}
Ejercicio 3: Configuración de Filtrado de archivos

Ejercicio 3: Configuración de Filtrado de archivos

En este ejercicio se configurará el filtrado de archivos para supervisar archivos ejecutables.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Crear un filtro de archivos.

2. Probar el filtro de archivos.

Tarea 1: Crear un filtro de archivos

1. En NYC-SVR1, en la consola Administrador de recursos del servidor de archivos, use el nodo


Administración del filtrado de archivos para crear un filtro de archivos que supervise archivos ejecutables
en la carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios. Cuando se coloca un archivo ejecutable en la
carpeta, el filtro de archivos registrará un evento 8215 en Visor de eventos.

2. Pruebe el filtro de archivos copiando ejemplo.bat de D:\ArchivosdeLaboratorio\Módulo12 a la carpeta


D:\ArchivosdeLaboratorio\Módulo12\Usuarios\Usuario1. Compruebe que el filtro de archivos funcione en
Visor de eventos.

Tarea 2: Probar el filtro de archivos

1. Copie y pegue D:\ArchivosdeLaboratorio\Módulo12\ejemplo.bat en D:\ArchivosdeLaboratorio


\Módulo12\Usuarios\usuario1.

2. Abra Visor de eventos y compruebe el registro de aplicación para la ID de evento 8215.


Ejercicio 4: Generación de informes de almacenamiento

Ejercicio 4: Generación de informes de almacenamiento

En este ejercicio se generará un informe de almacenamiento a petición.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

1. Generar un informe de almacenamiento a petición.

2. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Generar un informe de almacenamiento a petición

En la consola Administrador de recursos del servidor de archivos, use la opción Generar informe ahora
en el nodo Informes para generar un informe Eventos de auditoría de filtrado y Uso mínimo de cuota en la
carpeta D:\ArchivosdeLaboratorio\Módulo12\Usuarios.

Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuál es la diferencia entre una cuota máxima y una cuota de advertencia?

2. Cuando es necesario bloquear un conjunto común de tipos de archivo, ¿qué debe crearse para bloquearlos de
la manera más eficaz?

3. Si desea aplicar una cuota a todas las subcarpetas en una carpeta, incluyendo las carpetas que se crearán en el
futuro, ¿qué opción debe configurarse en la directiva de cuota?

Herramientas

La siguiente tabla describe las herramientas que pueden usarse para configurar FSRM:

Herramienta Descripción

Dirquota.exe Se usa para crear y administrar cuotas y plantillas de cuota.

FileScrn.exe Se usa para crear y administrar filtros de archivos,


excepciones al filtrado de archivos y grupos de archivos.

StorRept.exe Se usa para configurar parámetros de informe y generar


informes de almacenamiento a petición. También se
pueden crear tareas de informes y luego usar
Schtasks.exe para programarlas.

Fsutil Se usa para configurar cuotas NTFS y crear archivos para


probar el comportamiento de la cuota.
Módulo 13: Configuración de la disponibilidad de recursos y contenido de
red
Módulo 13

Configuración de la disponibilidad de recursos y contenido de red


En este módulo se explica cómo configurar recursos de red y disponibilidad de contenido. Además, se describe la
nueva infraestructura de copia de seguridad del sistema operativo Windows Server® 2008 y se explica detalladamente
cómo configurar métodos de copias de seguridad y de recuperación. En este módulo también se desarrolla cómo
habilitar un volumen de instantáneas, que permite tener acceso a versiones anteriores de carpetas y archivos en una
red. Por último, este módulo explica cómo usar el clúster de conmutación por error y el Equilibrio de carga de red
(NLB) para brindar mayor disponibilidad de datos y escalabilidad de carga de trabajo.

Lección 1: Copia de seguridad de datos


Lección 2: Configuración de instantáneas
Lección 3: Disponibilidad de servidor y de servicio
Laboratorio: Configuración de disponibilidad de recursos de red
Lección 1: Copia de seguridad de datos
Lección 1:

Copia de seguridad de datos

Copias de seguridad de Windows Server es una característica de Windows Server 2008 que ofrece una solución de
copias de seguridad y recuperación básica para el servidor en el que está instalada. Esta versión de Copias de
seguridad de Windows Server reemplaza la característica Copias de seguridad disponible en las versiones anteriores
del sistema operativo Windows.
Descripción general de Copias de seguridad de Windows Server

Descripción general de Copias de seguridad de Windows Server

Puntos clave

Copias de seguridad es una característica opcional de Windows Server 2008 que ayuda a hacer copias de seguridad y
recuperar el sistema operativo y a restaurar archivos y carpetas almacenados en el servidor de manera confiable.
Copias de seguridad consta de un complemento Microsoft Management Console (MMC) y herramientas de línea de
comandos.

Importante: El complemento MMC no se encuentra disponible en la edición del sistema operativo Windows Server®
2008 Standard ni en todas las instalaciones principales. Para administrar copias de seguridad en un equipo con
Windows Server 2008 Standard, se debe usar el complemento en otro equipo para administrar las copias de
seguridad de manera remota o usar las herramientas de línea de comandos del equipo local.
Nuevas características de Copias de seguridad de Windows Server

Nuevas características de Copias de seguridad de Windows Server

Puntos clave

La característica Copias de seguridad incluye las siguientes mejoras:

Tecnología de copias de seguridad más rápidas

Restauración simplificada

Recuperación simplificada del sistema operativo

Capacidad de recuperar aplicaciones

Programación mejorada

Eliminación fuera del sitio de copias de seguridad para protección ante desastres

Administración remota

Administración automática de uso del disco

Amplia compatibilidad con la línea de comandos

Compatibilidad con medios de DVD

También se puede usar la herramienta Ntbackup.exw para montar cintas de versiones de copias de seguricad
anteriores en los sistemas operativos Windows® 2000 Server y Windows Server® 2003. No obstante, no puede
usarse para crear nuevas copias de seguridad en Windows Server 2008.

Pregunta: ¿Por qué una compañía podría querer separar las funciones Copias de seguridad y Restauración?

Material de lectura adicional

Novedades en las operaciones de copia de seguridad y recuperación de AD DS

Biblioteca técnica de Windows Server 2008


¿Quién puede hacer copias de seguridad de datos?

¿Quién puede hacer copias de seguridad de datos?

Puntos clave

De manera predeterminada, los miembros del grupo Administradores u Operadores de copia de seguridad pueden
obtener acceso a la herramienta Copias de seguridad. Es posible eliminar este derecho a otros grupos o personas.

Nota: Limite la cantidad de usuarios que pertenecen a los grupos Administradores u Operadores de copia de
seguridad en el servidor. Estos miembros del grupo pueden usar Copias de seguridad.

Material de lectura adicional

Novedades en las operaciones de copia de seguridad y recuperación de AD DS


¿Qué son los datos de estado del sistema?

¿Qué son los datos de estado del sistema?

Puntos clave

Windows Server 2008 no hace copias de seguridad ni recupera datos de estado del sistema de la misma manera que
los servidores con Windows Server 2003 o Windows 2000 Server. En Windows Server 2008 se deben hacer copias
de seguridad de volúmenes críticos; no sólo de datos de estado del sistema.

En Windows Server 2008, los componentes del sistema que conforman los datos de estado del sistema dependen de
las funciones del servidor instaladas en el equipo y de los volúmenes que hospedan los archivos críticos que usan
tanto el sistema operativo como las funciones instaladas.

Material de lectura adicional

Novedades en las operaciones de copia de seguridad y recuperación de AD DS


Optimización del rendimiento de copias de seguridad

Optimización del rendimiento de copias de seguridad

Puntos clave

Es posible optimizar el rendimiento de las copias de seguridad eligiendo una de las siguientes configuraciones
disponibles en la opción Establecer configuración de rendimiento en el panel Acciones de Copias de seguridad
de Windows Server:

Hacer siempre una copia de seguridad completa. Esta opción disminuye la velocidad de la copia de seguridad
pero no influye en el rendimiento total.

Hacer siempre una copia de seguridad incremental. Esta opción aumenta la velocidad de la copia de seguridad
pero podría incidir en el rendimiento de escritura ya que se dejan las instantáneas.

Personalizada Esta opción permite configurar todos los volúmenes de manera independiente para que realicen
copias de seguridad completas o incrementales.

Material de lectura adicional

Novedades en las operaciones de copia de seguridad y recuperación de AD DS


Determinación de la hora de la copia de seguridad

Determinación de la hora de la copia de seguridad

Puntos clave

El Asistente de programación de copia de seguridad en el panel Acciones de Copias de seguridad de Windows


Server puede usarse para crear una programación de copias de seguridad y especificar opciones.

Cuando se ha creado una programación de copias de seguridad, éstas se llevan a cabo automáticamente todos los
días. Al crear una programación de copias de seguridad, es posible:

Hacer copias de seguridad de todo el servidor o sólo de volúmenes específicos.

Hacer copias de seguridad diarias o con mayor frecuencia.

Pregunta: ¿Hay datos en su organización para los que podría necesitar una programación de copias de seguridad
personalizada? Una programación que haga copias de seguridad de datos varias veces al día, por ejemplo.

Material de lectura adicional

Windows Server 2008 Backup and Recovery Step-by-Step Guide (Guía paso a paso de Copias de seguridad y
recuperación de Windows Server
¿Cómo se restauran los datos?

¿Cómo se restauran los datos?

Puntos clave

La restauración de datos se realiza mediante la herramienta Copias de seguridad de Windows Server. Esta
herramienta no está instalada de manera predeterminada. Debe instalarse usando el Asistente para configuración
inicial o la herramienta Administrador de servidores.

Después de hacer las copias de seguridad de los datos correctamente, es posible usar la opción Recuperar en el
panel Acciones de la herramienta Copias de seguridad de Windows Server para recuperar volúmenes, carpetas y
archivos en el servidor local o en otro servidor al que se conecta de manera remota.

Pregunta: ¿En qué casos consideraría la restauración de datos a una ubicación distinta a la original?

Material de lectura adicional

Novedades en las operaciones de copia de seguridad y recuperación de AD DS


Demostración: Instalación y configuración de Copias de seguridad de
Windows Server

Demostración: Instalación y configuración de Copias de seguridad de Windows Server


Lección 2: Configuración de instantáneas
Lección 2:

Configuración de instantáneas

En Windows Server 2008, al igual que en Windows Server 2003, es posible habilitar instantáneas conforme a un
volumen a fin de que se supervisen las modificaciones realizadas en los recursos compartidos de la red, ofreciendo
así al usuario la oportunidad de recuperar archivos y carpetas.
¿Qué son las instantáneas?

¿Qué son las instantáneas?

Puntos clave

La característica Versiones anteriores en Windows Server 2008 permite que los usuarios tengan acceso a versiones
anteriores de archivos y carpetas en la red. Esto resulta útil ya que los usuarios pueden:

Recuperar archivos eliminados accidentalmente.

Recuperar un archivo tras una sobrescritura accidental.

Comparar versiones de un archivo mientras se trabaja.

Pregunta: Si debiera implementar instantáneas de carpetas compartidas en su entorno de red, ¿observaría un


descenso en las llamadas de usuarios que necesitan restauración a partir de copias de seguridad?

Material de lectura adicional

Tema de Ayuda de Windows Server 2008: ¿Cómo se usa Versiones anteriores?


Programación de instantáneas

Programación de instantáneas

Puntos clave

Si se usan los valores predeterminados para habilitar instantáneas de carpetas compartidas en un volumen, se
programarán las tareas para crear instantáneas a las 7:00 a.m. y al mediodía. El área de almacenamiento
predeterminada será en el mismo volumen y el tamaño se limitará al 10 por ciento del espacio disponible.

Si decide hacer instantáneas con mayor frecuencia, debe comprobar que el espacio asignado para almacenamiento
sea suficiente y que no se hagan instantáneas con una frecuencia que perjudique el rendimiento del servidor.

Pregunta: ¿Cómo consideraría modificar la programación predeterminada para su entorno? ¿Posee datos en los
recursos compartidos que podrían necesitar una programación más exigente?

Material de lectura adicional

Tema de Ayuda de Windows Server 2008: Habilitar y configurar instantáneas de carpetas compartidas
Demostración: Configuración de instantáneas

Demostración: Configuración de instantáneas


Administración de instantáneas desde una perspectiva de cliente

Administración de instantáneas desde una perspectiva de cliente

Puntos clave

Para versiones anteriores del sistema operativo Windows, debe estar instalado el software de cliente Versiones
anteriores para que el usuario pueda usar las instantáneas. Como el sistema operativo Windows Vista™ posee el
cliente de Versiones anteriores integrado al sistema operativo, la configuración del cliente no es necesaria.

Pregunta: ¿Cuál sería el problema si un usuario llama al Departamento de soporte técnico e informa que la ficha
Versiones anteriores no está en las propiedades de carpeta/archivo compartido?

Material de lectura adicional

Tema de Ayuda de Windows Server 2008: ¿Cómo se usa Versiones anteriores?


Restauración de instantáneas

Restauración de instantáneas

Puntos clave

Una vez que se han habilitado las instantáneas de carpetas compartidas y se comienzan a crear instantáneas, se
puede usar la característica Versiones anteriores para recuperar versiones anteriores de archivos y carpetas o
recuperar archivos y carpetas cuyos nombres se han modificado o que se han eliminado.

Material de lectura adicional

Tema de Ayuda de Windows Server 2008: ¿Cómo restaurar una versión anterior de un archivo o carpeta?
Demostración: Restauración de instantáneas

Demostración: Restauración de instantáneas


Lección 3: Disponibilidad de servidor y de servicio
Lección 3:

Disponibilidad de servidor y de servicio

NLB es una tecnología de clúster que usa un algoritmo distribuido para equilibrar la carga de tráfico de red entre varios
hosts. Esto mejora la escalabilidad y disponibilidad de servicios basados en IP críticos, como la web, redes privadas
virtuales (VPN), multimedia de transmisión por secuencias, Terminal Services, Proxy, etc. También ofrece alta
disponibilidad al detectar errores de host y redistribuir automáticamente el tráfico a hosts operativos.
Descripción general de Administrador de equilibrio de carga de red

Descripción general de Administrador de equilibrio de carga de red

Puntos clave

Cuando se instala Equilibrio de carga de red como un controlador de red en cada uno de los servidores miembro o
hosts de un clúster, el clúster presenta una dirección IP virtual para las solicitudes de cliente. Las solicitudes de cliente
se difunden a todos los hosts en el clúster, pero sólo el host al que se asignó la solicitud de ese cliente acepta y
controla la solicitud. Todos los hosts restantes rechazan la solicitud. Según la configuración de cada uno de los hosts
en el clúster, el algoritmo de asignación estadística, que se encuentra en todos los hosts del clúster, asigna las
solicitudes de cliente a determinados hosts para que las procesen.

Usar NLB con Servicios de Terminal Server ofrece los beneficios de mayor disponibilidad, escalabilidad y rendimiento
de equilibrio de carga, como así también la posibilidad de distribuir gran cantidad de clientes de Servicios de Terminal
Server en un grupo de servidores de terminal.

Pregunta: ¿Posee algún servidor que hospede información sin estado que podría beneficiarse a partir de Equilibrio
de carga de red en su entorno?

Material de lectura adicional

How Network Load Balancing Technology Works (Cómo funciona la tecnología de Equilibrio de carga de red)

Biblioteca técnica de Windows Server 2008

Tema de Ayuda de Windows Server 2008: Equilibrio de carga de red


Demostración: Instalación de Equilibrio de carga de red

Demostración: Instalación de Equilibrio de carga de red


Creación de un clúster de Equilibrio de carga de red

Creación de un clúster de Equilibrio de carga de red

Puntos clave

Para configurar el clúster de Equilibrio de carga de red, es necesario configurar tres tipos de parámetros:

Parámetros de host, que son específicos para cada host en un clúster NLB.

Parámetros de clúster, que se aplican a un clúster NLB en su totalidad.

Reglas de puerto, que controlan el funcionamiento del clúster.

Debe ser miembro del grupo Administradores en el host que se está configurando o se le debe haber delegado la
autoridad apropiada para usar Administrador de equilibrio de carga de red. Si está configurando un clúster o host
ejecutando Administrador de equilibrio de carga de red desde un equipo que no forma parte del clúster, no es
necesario ser miembro del grupo Administradores en ese equipo.

Material de lectura adicional

Tema de Ayuda de Equilibrio de carga de red de Windows Server 2008: Crear un nuevo clúster de Equilibrio de
carga de red
Demostración: Configuración de un clúster de Equilibrio de carga de red

Demostración: Configuración de un clúster de Equilibrio de carga de red


¿Qué es un Clúster de conmutación por error?

¿Qué es un Clúster de conmutación por error?

Puntos clave

Un clúster de conmutación por error es un grupo de equipos independientes que trabajan en conjunto para aumentar la
disponibilidad de aplicaciones y servicios. Los servidores agrupados, denominados nodos, se conectan mediante
cables físicos y software. Si se produce un error en uno de los nodos del clúster, otro nodo comenzará a brindar el
servicio (proceso denominado conmutación por error). Por lo tanto, los usuarios experimentan ínfimas interrupciones
en el servicio.

Nota: La característica Clúster de conmutación por error no se encuentra disponible en las ediciones Windows® Web
Server 2008 ni Windows Server 2008 Standard.

Los clústeres de conmutación por error incluyen las nuevas funciones que se presentan a continuación:

La nueva característica de validación

Compatibilidad con discos de tabla de particiones (GPT) de identificador global único (GUID) en
almacenamiento de clúster

Entre las mejoras realizadas a la funcionalidad de clúster de conmutación por error existente, cabe mencionar:

Instalación de clúster mejorada

Interfaces de administración simplificadas

Mejoras de estabilidad y seguridad, que pueden generar mayor disponibilidad

Mejoras en el modo en que el clúster funciona con almacenamiento

Mejoras en las interfaces para trabajar con carpetas compartidas

Mejoras en la red y la seguridad

Material de lectura adicional

Biblioteca técnica de Windows Server 2008


Requisitos de hardware para un clúster de conmutación por error

Requisitos de hardware para un clúster de conmutación por error

Puntos clave

Debe revisarse cuidadosamente el hardware en el que se planea implementar un clúster de conmutación por error para
garantizar que sea compatible con Windows Server 2008. Esto es particularmente necesario si actualmente está
usando ese hardware para un clúster de servidores con Windows Server 2003. El hardware compatible con un clúster
de servidores con Windows Server 2003 no será necesariamente compatible con un clúster de conmutación por error
con Windows Server 2008.

Nota: No es posible realizar una actualización gradual desde un clúster de servidores con Windows Server 2003 a un
clúster de conmutación por error con Windows Server 2008. No obstante, después de crear un clúster de
conmutación por error con Windows Server 2008, es posible usar un asistente para migrar a éste determinados
valores de recursos de un clúster de servidores con Windows Server 2003.

Se requiere el siguiente hardware para un clúster de conmutación por error:

Servidores

Adaptadores y cable de red (para comunicación de red)

Controladores de dispositivos o adaptadores apropiados para el almacenamiento

Almacenamiento

Pregunta: Si actualmente posee un clúster de servidores en una versión anterior de servidor, ¿es posible hacer una
actualización gradual a Clúster de conmutación por error de Windows Server 2008?

Material de lectura adicional

Biblioteca técnica de Windows Server 2008

Tema de Ayuda de Administración del clúster de conmutación por error: Comprender los requisitos de los
clústeres de conmutación por error
Laboratorio: Configuración de disponibilidad de recursos de red

Laboratorio: Configuración de disponibilidad de recursos de red

Objetivos

Configurar Copias de seguridad y restauración de Windows Server

Configurar instantáneas

Configurar y probar Equilibrio de carga de red

Escenario

Se le solicitó al especialista en tecnología de Servicios de infraestructura de Windows (WIS) que configure la


restauración de recuperación ante desastres y la disponibilidad para todos los servicios críticos.
Ejercicio 1: Configuración de Copias de seguridad y restauración de
Windows Server

Ejercicio 1: Configuración de Copias de seguridad y restauración de Windows Server

En este ejercicio configurará Copias de seguridad de Windows Server.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales y luego iniciar sesión.

2. Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1.

3. Instalar la característica Copias de seguridad de Windows Server.

4. Crear un recurso compartido en 6822A-NYC-SVR.

5. Hacer copias de seguridad manuales de los archivos a una ubicación de red.

6. Restaurar archivos desde una ubicación de red.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL1, haga clic en Iniciar.

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Abrir la herramienta Administrador de servidores en 6822A-NYC-DC1

Si es necesario, en 6822A-NYC-DC1, abra Administrador del servidor desde el menú Herramientas


administrativas.

Tarea 3: Instalar la característica Copias de seguridad de Windows Server

1. En NYC-DC1, abra Adminitrador del servidor.

2. En Administrador del servidor, instale la característica Copia de seguridad de Windows Server.

3. En la página Resultados de la instalación, compruebe que la instalación de Copia de seguridad de Windows


Server se haya realizado correctamente y luego haga clic en Cerrar.

4. Cierre Administrador del servidor.

Tarea 4: Crear un recurso compartido en 6822A-NYC-SVR1

1. En NYC-SVR1, abra la herramienta administrativa Administración de equipos.

2. En el panel de la lista Administración de equipos, expanda Carpetas compartidas y luego haga clic con el
botón secundario en Recursos compartidos.

3. En el menú contextual que aparece, haga clic en Recurso compartido nuevo.

4. Usando Asistente para nuevo recurso compartido, cree un nuevo recurso compartido en la unidad de disco C:\
denominado CopiadeSeguridaddeRed.

5. En la página Permisos de carpeta compartida, seleccione Los administradores tienen acceso total;
ningún otro usuario tiene acceso y luego haga clic en Finalizar.
Tarea 5: Hacer copias de seguridad manuales de los archivos a una ubicación de red

1. En NYC-DC1, abra la herramienta administrativa Copia de seguridad de Windows Server desde el menú
Inicio, ubicada en Herramientas administrativas.

2. En el panel Acciones de la ventana Copia de seguridad de Windows Server (Local), seleccione Hacer
copia de seguridad una vez.

3. En la página Opciones de copia de seguridad de Asistente para Hacer copia de seguridad una vez,
haga clic en Siguiente.

4. En la página Especificar tipo de copia de seguridad, seleccione Personalizar y luego haga clic en
Siguiente.

5. En la página Seleccionar elementos de copia de seguridad, desactive las casillas Habilitar la


recuperación del sistema, seleccione TodoslosArchivos (D:) y luego haga clic en Siguiente.

6. En la página Especificar tipo de destino, seleccione Carpeta compartida remota y luego haga clic en
Siguiente.

7. En la página Especificar carpeta remota, escriba la ruta de acceso \\NYC-SVR1\CopiadeSeguridaddeRed y


luego haga clic en Siguiente.

8. En la página Especificar tipos de copia de seguridad de VSS, seleccione Copia de seguridad completa
de VSS y luego haga clic en Siguiente.

9. En la página Confirmación, haga clic en Copia de seguridad.

10. En la página Progreso de copia de seguridad, compruebe que el estado sea Copia de seguridad
completa y luego haga clic en Cerrar.

Tarea 6: Restaurar archivos desde una ubicación de red

1. Haga clic en Inicio, luego en Equipo y después haga doble clic en TodoslosArchivos (D:).

2. En el panel de detalles de la ventana TodoslosArchivos (D:), elimine el directorio TodoslosArchivos y luego


cierre la ventana TodoslosArchivos (D:).

3. En la página Copia de seguridad de Windows, en Acciones, seleccione Recuperar.

4. En la página Asistente para recuperación, Introducción, seleccione Otro servidor y luego haga clic en
Siguiente.

5. En la página Especificar tipo de ubicación, seleccione Carpeta compartida remota y luego haga clic en
Siguiente.

6. En la página Especificar carpeta remota, escriba la ruta de acceso \\NYC-SVR1\CopiadeSeguridaddeRed y


luego haga clic en Siguiente.

7. En la página Seleccione la fecha de la copia de seguridad, haga clic en la fecha de hoy (en negrita) y luego
haga clic en Siguiente.

8. En la página Seleccionar tipo de recuperación, acepte la opción predeterminada Archivos y carpetas y


luego haga clic en Siguiente.

9. En la página Seleccionar elementos a recuperar, expanda NYC-DC1, TodoslosArchivos (D:), seleccione


ArchivosdeLaboratorio y luego haga clic en Siguiente.

10. En la página Especificar opciones de recuperación, acepte los valores predeterminados y luego haga clic
en Siguiente.

11. En la página Confirmación, haga clic en Recuperar.

12. En la ventana Progreso de recuperación, compruebe que el estado sea Restauración de archivos
completada y luego haga clic en Cerrar.

13. Cierre la herramienta Copia de seguridad de Windows Server.


Ejercicio 2: Configuración de instantáneas

Ejercicio 2: Configuración de instantáneas

En este ejercicio, se configurarán y probarán instantáneas.

Las principales tareas se realizarán como se detalla a continuación:

1. Habilitar instantáneas en un volumen.

2. Cambiar un archivo en una ubicación compartida.

3. Crear una instantánea manualmente.

4. Visualizar las versiones anteriores del archivo y restaurar una versión anterior.

Tarea 1: Habilitar instantáneas en un volumen

1. En NYC-DC1, abra la consola Administración de equipos.

2. En el árbol de consola de la ventana Administración de equipos, haga clic con el botón secundario en
Carpetas compartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.

3. En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Habilitar.

4. En el cuadro de diálogo Habilitar instantáneas que aparece, haga clic en Sí y luego en Aceptar.

5. No cierre la consola Administración del equipo.

Tarea 2: Cambiar un archivo en una ubicación compartida

1. En NYC-CL1, haga clic en Inicio y en el cuadro de texto de búsqueda escriba \\NYC-DC1\Shadow.

Se abrirá una ventana con el contenido compartido de \\NYC-DC1\Shadow visible.

2. Abra el archivo ShadowTest.txt.

3. Agregue el siguiente texto al final del archivo de texto:

Este es mi texto que agrego al archivo.

4. Guarde y cierre el archivo ShadowTest.txt.

Tarea 3: Crear una instantánea manualmente

1. En NYC-DC1, en la consola Administración del equipo, haga clic con el botón secundario en Carpetas
compartidas, elija Todas las tareas y luego haga clic en Configurar instantáneas.

2. En el cuadro de diálogo Instantáneas, seleccione el volumen D:\ y luego haga clic en Crear ahora.

Debería haber dos entradas enumeradas para las instantáneas del volumen seleccionado.

1. Cierre la consola Administración del equipo.

Tarea 4: Visualizar las versiones anteriores del archivo y restaurar una versión anterior

1. En NYC-CL1, haga clic en Inicio, escriba \\NYC-DC1\Shadow en el cuadro de texto Buscar y luego presione
Entrar.

2. Haga clic con el botón secundario en ShadowTest.txt y seleccione Propiedades del menú contextual.

3. En el cuadro de diálogo Propiedades de ShadowTest, haga clic en la ficha Versiones anteriores.

4. En Versiones de archivo, observará la última instantánea que creó. Haga clic en Abrir para ver el contenido
del archivo. El archivo que está visualizando debería corresponder a la versión anterior del archivo que modificó
con texto.
5. Cierre el archivo y seleccione Restaurar en la ventana Versiones anteriores para restaurar el archivo a su
estado anterior, antes de que se le realizaran cambios.

6. En el cuadro de diálogo Versiones anteriores, haga clic en Aceptar.

7. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de ShadowTest.


Ejercicio 3: Configuración de Equilibrio de carga de red

Ejercicio 3: Configuración de Equilibrio de carga de red

En este ejercicio configurará Equilibrio de carga de red.

Las principales tareas se realizarán como se detalla a continuación:

1. Instalar la característica Equilibrio de carga de red en NYC-DC1 y NYC-SVR1.

2. Configurar Equilibrio de carga de red en NYC-DC1 y NYC-SVR1.

3. Instalar y compartir una impresora basada en IP en NYC-DC1 y en NYC-SVR1.

4. Usar NYC-CL1 para conectar a la dirección IP virtual de NLB.

5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Instalar la característica Equilibrio de carga de red en NYC-DC1 y NYC-SVR1

1. En NYC-DC1, abra Administrador del servidor.

2. En el panel de la lista Administrador del servidor, haga clic con el botón secundario en Características e
instale Equilibrio de carga de red.

3. En la página Resultados, compruebe que la instalación se haya realizado correctamente y luego cierre el
Asistente para agregar características.

4. Repita los pasos de 1 a 3 para NYC-SVR1.

5. Cierre Administrador del servidor en NYC-DC1 y en NYC-SVR1.

Tarea 2: Configurar Equilibrio de carga de red en NYC-DC1 y NYC-SVR1

1. En NYC-DC1, abra Administrador de Equilibrio de carga de red.

2. En la consola Administrador de Equilibrio de carga de red, haga clic con el botón secundario en Clústeres
de Equilibrio de carga de red en el panel de la lista y luego haga clic en Nuevo clúster.

3. En el cuadro de diálogo Nuevo clúster: Conectar, escriba el nombre de host NYC-DC1 y luego haga clic en
Conectar. Debería ver que la sección Nombre de la interfaz se carga con los datos de Conexión de área
local y Dirección IP de la interfaz. Haga clic en Siguiente.

4. En el cuadro de diálogo Nuevo clúster: Parámetros de Host, compruebe que el estado predeterminado sea
Iniciado y luego haga clic en Siguiente.

5. En el cuadro de diálogo Nuevo clúster: Clúster de direcciones IP, haga clic en Agregar y especifique la IP
de clúster IPv4 en 10.10.0.100 con una máscara de subred de 255.255.0.0 y luego haga clic en Aceptar.

6. En el cuadro de diálogo Nuevo clúster: Clúster de parámetros, escriba el Nombre completo de Internet:
imprimirsvr.woodgrovebank.com. Especifique el modo de operación de clúster Multidifusión y luego haga
clic en Siguiente.

7. En el cuadro de diálogo Nuevo clúster: Reglas de puerto, haga clic en Finalizar.

8. En el panel de la lista de la consola Administrador de Equilibrio de carga de red, haga clic con el botón
secundario en imprimirSVR.woodgroovebank.com y luego haga clic en Agregar Host al clúster desde el
menú contextual.

9. En el cuadro de diálogo Agregar Host al clúster: Conectar especifique el nombre de host NYC-SVR1 y
luego haga clic en Conectar.

10. En Interfaces disponibles para configurar el clúster, haga clic en Conexión de área local y luego haga
clic en Siguiente.

11. En el cuadro de diálogo Agregar Host al clúster: Parámetros del Host, acepte los valores predeterminados
y luego haga clic en Siguiente.
12. En el cuadro de diálogo Agregar Host al clúster: Reglas de puerto, acepte los valores predeterminados y
luego haga clic en Finalizar.

13. Cierre la ventana de la consola Administrador de Equilibrio de carga de red.

Tarea 3: Instalar y compartir una impresora basada en IP en NYC-DC1 y en NYC-SVR1

1. En NYC-DC1, haga clic en Inicio, luego en Panel de control y, por último, haga doble clic en el applet de
Impresoras.

2. En el panel de detalles de la consola Impresoras, haga doble clic en Agregar impresoras.

3. Agregue una impresora local con un Puerto estándar TCP/IP con la dirección 10.10.0.80. Desactive la casilla
Consultar la impresora y seleccionar automáticamente el controlador de impresora que se debe usar
y luego haga clic en Siguiente.

4. Espere a que finalice la detección del puerto TCP/IP y luego en el cuadro de diálogo Se requiere información
adicional sobre puertos, haga clic en Siguiente.

5. En el cuadro de diálogo Instalar el controlador de la impresora, especifique que el fabricante es HP y el


modelo de la impresora es LaserJet 6MP y luego haga clic en Siguiente.

6. En el cuadro de diálogo Escriba un nombre de impresora, acepte los valores predeterminados y luego haga
clic en Siguiente.

7. En el cuadro de diálogo Impresoras compartidas, acepte los valores predeterminados y luego haga clic en
Siguiente.

8. En el cuadro de diálogo HP LaserJet 6MP se agregó con éxito, haga clic en Finalizar.

9. Cierre el applet Impresoras del panel de control.

10. Repita los pasos de 1 a 9 en NYC-SVR1.

Tarea 4: Usar NYC-CL1 para conectar a la dirección IP virtual de NLB

1. En NYC-CL1, haga clic en Inicio, escriba \\10.10.0.100 en el cuadro de texto Iniciar búsqueda y luego
presione Entrar.

2. Observe los recursos de clúster NLB disponibles.

Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Cuáles son los beneficios de usar tecnologías VSS y a nivel de bloque en comparación con los tipos
tradicionales de copias de seguridad basadas en archivos?

2. ¿Cuál es el riesgo de elegir restaurar una carpeta en instantáneas?

3. ¿Cuál es la diferencia entre los clústeres de conmutación por error y el Equilibrio de carga de red?

Procedimientos recomendados

Tenga en cuenta los siguientes procedimientos recomendados para NLB:

Asegurar correctamente los hosts NLB y las aplicaciones de carga equilibrada:

Equilibrio de carga de red no ofrece seguridad adicional para los hosts de carga equilibrada y no puede usarse
como un firewall. Es importante asegurar correctamente las aplicaciones y hosts de carga equilibrada. Por lo
general, es posible encontrar los procedimientos de seguridad en la documentación de cada una de las
aplicaciones. Si está usando NLB para equilibrar la carga de un clúster de servidores IIS, por ejemplo, deberían
realizar los procedimientos y las instrucciones para asegurar IIS.

Debe proteger la subred NLB de la intrusión de equipos y dispositivos no autorizados para evitar la interferencia
de paquetes de latidos no autorizados.

Mientras no se solicite, use dos o más adaptadores de red en cada host de clúster, de ser posible:

Si el clúster está funcionando en el modo de unidifusión predeterminado, NLB no puede distinguir adaptadores
únicos en cada host. En consecuencia, no es posible ningún tipo de comunicación entre hosts de clúster a
menos que cada host de clúster posea dos adaptadores de red como mínimo.

Es posible configurar Equilibrio de carga de red en más de un adaptador de red. Sin embargo, si usa un
segundo adaptador de red como se indica en este procedimiento, asegúrese de instalar Equilibrio de carga de
red en un solo adaptador (denominado adaptador de clúster).

Use sólo el protocolo de red TCP/IP en el adaptador de clúster:

No agregue ningún otro protocolo (IPX, por ejemplo) a este adaptador.

Habilite el registro de Equilibrio de carga de red:

Es posible configurar Administrador de equilibrio de carga de red (NLBM) para que registre todos los eventos
NLBM. Este registro puede ser muy útil para solucionar problemas o resolver errores que surjan al usar NLBM.
Habilite el registro de NLBM haciendo clic en Configuración de registro en el menú Opciones del Administrador
de equilibrio de carga de red. Seleccione la casilla Habilitar registro y luego especifique un nombre y una
ubicación para el archivo de registro.

Como el archivo de registro del Administrador de equilibrio de carga de red posiblemente contiene información
reservada acerca del clúster y los hosts de Equilibrio de carga de red, debe estar correctamente asegurado. De
manera predeterminada, el archivo de registro hereda la configuración de seguridad del directorio en el que se creó;
por lo tanto, tal vez deba modificar los permisos explícitos en el archivo para restringir el acceso de lectura y escritura a
aquellas personas que no necesitan control total del archivo. Tenga en cuenta que la persona que usa NLBM necesita
control total sobre el archivo de registro.

Compruebe que la aplicación de carga equilibrada se haya iniciado en todos los hosts de clúster en que está
instalada la aplicación:

NLB no inicia ni detiene aplicaciones.

Material de lectura adicional

Prácticas recomendadas para el Equilibrio de carga de red


Módulo 14: Configuración del cumplimiento de seguridad del servidor
Módulo 14

Configuración del cumplimiento de seguridad del servidor


Este módulo explica cómo asegurar servidores y mantener el cumplimiento de actualizaciones. También explica
detalladamente cómo asegurar una función del servidor dentro de una infraestructura de Windows, cómo asegurar
servidores usando plantillas de seguridad y cómo configurar una directiva de auditoría y administrar las actualizaciones
usando Windows Server Update Services (WSUS).

Lección 1: Seguridad de una infraestructura de Windows


Lección 2: Uso de plantillas de seguridad para asegurar servidores
Lección 3: Configuración de Directiva de auditoría
Lección 4: Descripción general de Windows Server Update Services
Lección 5: Administración de WSUS
Laboratorio: Configuración del cumplimiento de seguridad del servidor
Lección 1: Seguridad de una infraestructura de Windows
Leccón 1:

Seguridad de una infraestructura de Windows

Esta lección explica cómo asegurar una función del servidor dentro de una infraestructura de Windows. A medida que
las organizaciones amplían la disponibilidad de datos, aplicaciones y sistemas de red, garantizar la seguridad de una
infraestructura de red se vuelve un desafío aún mayor. Las tecnologías de seguridad del sistema operativo Windows
Server® 2008 permiten a las organizaciones brindar una mejor protección a sus recursos de red y sus activos en
entornos cada vez más complejos y escenarios de negocios.
Desafíos de seguridad de una infraestructura de Windows

Desafíos de seguridad de una infraestructura de Windows

Puntos clave

Cada función del servidor requiere una configuración de seguridad específica, dependiendo del escenario de
implementación y de los requisitos de infraestructura. La documentación compatible con cada función del servidor
contiene información de seguridad y otras observaciones de seguridad. Además, algunas funciones del servidor están
más enfocadas en la seguridad, tales como Servicios de administración de derechos de Active Directory® (AD RMS) o
Servicios de certificados de Active Directory (AD CS). Para obtener una lista completa de las funciones del servidor
disponibles, ejecute el Asistente para Administrador de servidores, en el menú Herramientas administrativas.

Material de lectura adicional

Windows Server 2008: Ayuda y Soporte de Windows: Descripción general de la seguridad


Aplicación de defensa específica para aumentar la seguridad

Aplicación de defensa específica para aumentar la seguridad

Puntos clave

Luego de descubrir y documentar los riesgos que enfrenta su organización, el siguiente paso es examinar y organizar
las defensas que usará para brindar una solución de seguridad. El modelo de seguridad de defensa específica es un
punto de partida excelente. Este modelo identifica siete niveles de defensas de seguridad que garantizan que
cualquier intento de poner en riesgo la seguridad de una organización se enfrentará a un conjunto sólido de defensas.
Cada conjunto es capaz de desviar ataques en muchos niveles diferentes.

Pregunta: ¿Cuál es la parte más importante del modelo de seguridad de defensa específica?

Material de lectura adicional

Antivirus Defense-in-Depth Guide (Guía para defensa específica de antivirus)


Procedimientos principales para la seguridad del servidor

Procedimientos principales para la seguridad del servidor

Puntos clave

Sin seguridad física no se tiene seguridad. Los procedimientos principales para la seguridad del servidor son
relativamente fáciles de adoptar y se los debe integrar a la configuración de seguridad estándar de todos los
servidores. Algunos de los procedimientos principales para la seguridad del servidor deben incluir:

Aplicar el último Service Pack y todas las actualizaciones críticas y de seguridad disponibles.

Usar el Asistente para configuración de seguridad para examinar e implementar la seguridad del servidor en
base a las funciones del servidor.

Usar Directiva de grupo y plantillas de seguridad para proteger los servidores y reducir la superficie de ataque.

Restringir el ámbito de acceso para las cuentas de servicio, lo que reduce el daño en caso de que la cuenta
esté en riesgo.

Usar opciones de seguridad para restringir quiénes pueden iniciar sesión local en las consolas del servidor.

Restringir el acceso físico y el acceso a la red de los servidores.

Pregunta: ¿Cuenta su compañía con una “guía” detallada de todas las instalaciones nuevas que ocurren en el
hardware nuevo? ¿Qué puede hacer para reducir la superficie de ataque en su infraestructura?

Material de lectura adicional

Security and Protection (Seguridad y protección)


¿Qué es el Asistente para configuración de seguridad?

¿Qué es el Asistente para configuración de seguridad?

Puntos clave

El Asistente para configuración de seguridad (SCW) sirve de guía a través del proceso de creación, edición, aplicación
o reversión de una directiva de seguridad. Una directiva de seguridad creada con SCW es un archivo .xml que, cuando
se aplica, configura servicios, seguridad de red, valores de registro específicos y directivas de auditoría.

SCW es una herramienta basada en funciones que puede usarse para crear una directiva que habilite servicios, reglas
de firewall y configuración que un servidor seleccionado requiere para realizar funciones específicas. Por ejemplo, un
servidor podría ser un servidor de archivos, un servidor de impresión o un controlador de dominio.

Pregunta: ¿Su organización usa el Asistente para configuración de seguridad para la configuración de seguridad
basada en funciones? ¿Cuál es la diferencia entre una plantilla de seguridad y la directiva definida por SCW?

Material de lectura adicional

Tema de Ayuda de Windows Server 2008: Asistente para configuración de seguridad: Ayuda
¿Qué es Firewall de Windows?

¿Qué es Firewall de Windows?

Puntos clave

Firewall de Windows con seguridad avanzada combina un firewall host e IPsec. A diferencia de un firewall perimetral,
Firewall de Windows con seguridad avanzada se ejecuta en cada equipo con Windows Server 2008 y brinda
protección local contra los ataques a la red que puedan atravesar su red perimetral u originarse dentro de su
organización. También brinda seguridad a conexiones de equipo a equipo, lo que permite solicitar autenticación y
protección de datos para las comunicaciones.

Pregunta: ¿Cuál es la diferencia entre Firewall de Windows y un firewall perimetral?

Material de lectura adicional

Tema de Ayuda Firewall de Windows con seguridad avanzada: Firewall de Windows con seguridad avanzada
Demostración: Uso del Asistente para configuración de seguridad para
asegurar las funciones del servidor

Demostración: Uso del Asistente para configuración de seguridad para asegurar las funciones del
servidor
Lección 2: Uso de plantillas de seguridad para asegurar servidores
Lección 2:

Uso de plantillas de seguridad para asegurar servidores

Las plantillas de seguridad han existido desde Windows NT 4.0 Service Pack 4. Estas plantillas de seguridad se han
vuelto un método popular para aplicar la configuración de seguridad tanto a servidores como a entornos de escritorio.
Una razón del éxito de las plantillas de seguridad es que brindan una amplia gama de valores de seguridad y son
fáciles de implementar en diversos entornos. Una única plantilla de seguridad puede establecer un ámbito amplio de
configuraciones de seguridad en muchos servidores y equipos de escritorio.
¿Qué es una Directiva de seguridad?

¿Qué es una Directiva de seguridad?

Puntos clave

Una directiva de seguridad en un entorno de Windows es una colección de configuraciones de seguridad que se
relacionan y se aplican a diferentes áreas del sistema.

Las directivas locales pueden resultar útiles en entornos que no sean de Servicios de dominio de Active Directory (AD
DS) porque se aplican a nivel del equipo local. Las directivas de dominio tienden a contar con más configuraciones
disponibles para establecer y se puede usar Directiva de grupo como medio para implementarlas.

Pregunta: ¿Su organización usa plantillas de seguridad a nivel del equipo local o GPO basado en dominio con
plantillas importadas?

Material de lectura adicional

Biblioteca técnica de Windows Server 2008


¿Qué son las Plantillas de seguridad?

¿Qué son las Plantillas de seguridad?

Puntos clave

Una plantilla de seguridad contiene cientos de configuraciones posibles que pueden controlar uno o múltiples equipos.
Las plantillas de seguridad pueden controlar áreas tales como derechos del usuario, permisos y directivas de
contraseña. Es posible usar Objetos de directiva de grupo (GPO) para implementar plantillas de seguridad de manera
centralizada. También se pueden personalizar plantillas de seguridad para que incluyan casi todas las configuraciones
de seguridad en un equipo de destino.

Material de lectura adicional

Plantillas de seguridad predefinidas


Demostración: Configuración de las plantillas de seguridad

Demostración: Configuración de las plantillas de seguridad


¿Qué es la herramienta Configuración y análisis de seguridad?

¿Qué es la herramienta Configuración y análisis de seguridad?

Puntos clave

La herramienta Configuración y análisis de seguridad puede usarse para analizar y configurar la seguridad del sistema
local.

El análisis periódico permite realizar un seguimiento y garantizar un nivel de seguridad adecuado para cada equipo
como parte de un programa de administración de riesgos de la empresa. Se pueden ajustar los niveles de seguridad y,
además, se pueden detectar imperfecciones de seguridad que pueden ocurrir en el sistema a través del tiempo.

También se puede usar Configuración y análisis de seguridad para configurar la seguridad del sistema local.

Material de lectura adicional

Configuración y análisis de seguridad


Demostración: Análisis de la directiva de seguridad usando la herramienta
Configuración y análisis de seguridad

Demostración: Análisis de la directiva de seguridad usando la herramienta Configuración y análisis


de seguridad
Lección 3: Configuración de Directiva de auditoría
Lección 3:

Configuración de Directiva de auditoría

Se puede configurar una directiva de auditoría que registre la actividad del usuario o del sistema en categorías de
eventos especificadas. Además, se puede supervisar la actividad relacionada con la seguridad, como por ejemplo
quién tiene acceso a un objeto, si un usuario inicia o cierra sesión en un equipo o si ocurren cambios en la
configuración de una directiva de auditoría.

Como procedimiento recomendado se debería crear un plan de auditoría antes de implementar Directiva de auditoría.
¿Qué es la auditoría?

¿Qué es la auditoría?

Puntos clave

La auditoría es el proceso que realiza un seguimiento de la actividad de los usuarios almacenando los eventos
seleccionados en un registro de seguridad del servidor o de la estación de trabajo.

Mencione que los tipos de eventos más frecuentes para auditar son:

El acceso a objetos, como archivos y carpetas

La administración de cuentas de usuario y de grupo

El inicio y cierre de sesión en el sistema por parte de los usuarios

Pregunta: ¿Cuáles son algunas de las razones por las que se deberían auditar ciertas áreas de un sistema o recurso
compartido determinado?

Material de lectura adicional

Introducción a la auditoría
¿Qué es una Directiva de auditoría?

¿Qué es una Directiva de auditoría?

Puntos clave

Una directiva de auditoría determina los eventos de seguridad que serán informados al administrador de red. Al
implementar una directiva de auditoría:

Especifique las categorías de eventos que desea auditar.

Establezca el tamaño y comportamiento del registro de seguridad.

Audite el acceso del servicio de directorio o el acceso a objetos determinando para qué tipo de objetos se
desea supervisar el acceso y qué tipo de acceso se desea supervisar. Por ejemplo, si desea auditar cualquier
intento por parte de los usuarios de abrir un archivo determinado, puede establecer la configuración de la
directiva de auditoría en la categoría de evento de acceso a objetos a fin de que se registren tanto los intentos
correctos e incorrectos de leer un archivo.

Material de lectura adicional

Introducción a la auditoría
Tipos de eventos para auditar

Tipos de eventos para auditar

Puntos clave

Antes de implementar una directiva de auditoría, debe determinar qué categorías de eventos desea auditar. La
configuración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. La
configuración de auditoría para las categorías de eventos no está definida de manera predeterminada en los
servidores miembro y las estaciones de trabajo que se unen a un dominio. Los controladores de dominio activan la
auditoría de manera predeterminada.

Se puede crear una directiva de auditoría que se ajuste a las necesidades de seguridad de su organización, definiendo
la configuración de auditoría para categorías de eventos específicas.

Pregunta: ¿Qué categorías de eventos audita su compañía actualmente? Si su compañía no está auditando, ¿qué
categorías de eventos desearía que se auditen en su organización?

Material de lectura adicional

Introducción a la auditoría
Demostración: Cómo configurar la auditoría

Demostración: Cómo configurar la auditoría


Lección 4: Descripción general de Windows Server Update Services
Lección 4:

Descripción general de Windows Server Update Services

Esta lección describe Windows Server Update Services (WSUS), que es una herramienta para administrar y distribuir
actualizaciones de software que resuelve las vulnerabilidades de seguridad y otros problemas de estabilidad.

WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con el sistema operativo
Windows.
¿Qué es Windows Server Update Services?

¿Qué es Windows Server Update Services?

Puntos clave

WSUS permite implementar las últimas actualizaciones de productos de Microsoft en equipos con los sistemas
operativos Microsoft Windows Server 2003, Windows Server® 2008, Windows Vista™, Microsoft Windows® XP con
Service Pack 2 y Windows 2000 con Service Pack 4. Usar WSUS le permite administrar la distribución de
actualizaciones que lanza Microsoft Update a los equipos de su red.

WSUS 3.0 brinda mejoras en las siguientes áreas:

Facilidad de uso

Opciones de implementación mejoradas

Mejor compatibilidad con jerarquías de servidores complejas

Mejor rendimiento y optimización de ancho de banda

La capacidad de ampliar WSUS 3.0 usando interfaces de programación de aplicaciones (API) mejoradas.

Pregunta: ¿Qué sistemas operativos de Microsoft pueden usar los servicios WSUS?

Material de lectura adicional

Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server Update
Services 3.0)

New in Windows Server Update Services 3.0 (Novedades en Windows Server Update Services 3.0)
Proceso de Windows Server Update Services

Proceso de Windows Server Update Services

Puntos clave

Se recomienda un enfoque continuo de cuatro fases para el proceso de administración de actualizaciones: evaluar,
identificar, evaluar y planear e implementar. Es esencial repetir el proceso de administración de actualizaciones de
manera continua, ya que las actualizaciones nuevas que se encuentren disponibles pueden optimizar y proteger su
entorno de producción.

Cada fase cuenta con diferentes objetivos y métodos para el uso de las características de WSUS a fin de garantizar
que el proceso de administración de actualizaciones se lleve a cabo correctamente. Es importante observar que
pueden emplearse muchas características en más de una fase.

Material de lectura adicional

Microsoft Windows Server Update Services 3.0 Overview (Descripción general de Windows Server Update
Services 3.0)
Requisitos del servidor para WSUS

Requisitos del servidor para WSUS

Puntos clave

Los requisitos previos para los servidores WSUS incluyen:

Windows Server 2003 SP1 o versión posterior, o Windows Server 2008

Microsoft Internet Information Services (IIS) 6.0 o versión posterior

Windows Installer 3.1 o versión posterior

Microsoft .NET Framework 2.0

El número de equipos cliente que su organización esté actualizando es lo que controla los requisitos de hardware y de
software de base de datos. Un servidor WSUS que usa el hardware recomendado admite 20.000 clientes como
máximo. Se debe formatear tanto la partición del sistema como la partición en la que se instala WSUS con el sistema
de archivos NTFS.

Pregunta: ¿Cómo afectan las opciones de idioma para actualizaciones los requisitos del servidor para WSUS 3.0?

Material de lectura adicional

Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows Server
Update Services 3.0)
Configuración de Actualizaciones automáticas

Configuración de Actualizaciones automáticas

Puntos clave

Es posible usar Directiva de grupo o el Registro para configurar Actualizaciones automáticas. Configurar
Actualizaciones automáticas implica dirigir los equipos cliente al servidor WSUS, garantizar que el software de
Actualizaciones automáticas que usa sea actual y configurar cualquier otro valor del entorno.

La mejor manera de configurar Actualizaciones automáticas y las opciones del entorno WSUS dependerá de su
entorno de red. En un entorno de Active Directory se usa Directiva de grupo. En un entorno que no es de Active
Directory, se puede usar Objeto de directiva de grupo local (GPO) o editar el Registro directamente.

Pregunta: ¿Cuándo usaría la configuración basada en registro para la configuración del cliente de Actualizaciones
automáticas, en lugar de usar Directiva de grupo?

Material de lectura adicional

Deploying Microsoft Windows Server Update Services 3.0 (Implementación de Microsoft Windows Server
Update Services 3.0)
Demostración: Instalación y configuración de WSUS

Demostración: Instalación y configuración de WSUS


Lección 5: Administración de WSUS
Lección 5:

Administración de WSUS

Esta lección explica cómo se puede administrar WSUS realizando tareas administrativas con la consola Administración
de WSUS 3.0, o mediante la administración de grupos de equipos para destinar las actualizaciones a equipos
específicos y la aprobación de la instalación de actualizaciones en todos los equipos en su red WSUS o para
diferentes grupos de equipos.
Administración de WSUS

Administración de WSUS

Puntos clave

La consola Administración de WSUS 3.0 ha pasado de ser una consola basada en web a un complemento para la
MMC versión 3.0.

La consola Administración de WSUS 3.0 también permite:

Administrar WSUS de manera remota.

Configurar tareas posteriores a la instalación usando el asistente.

Generar múltiples informes con mayor precisión.

Realizar el mantenimiento del servidor con mayor facilidad.

Pregunta: ¿Cómo se administra la infraestructura WSUS de manera remota desde otro servidor o estación de
trabajo?

Material de lectura adicional

Client Behavior with Update Deadlines (Comportamiento del cliente con fechas límite de actualización)
Administración de grupos de equipos

Administración de grupos de equipos

Puntos clave

Los grupos de equipos son una parte importante de las implementaciones de WSUS, incluso de una básica. Los
grupos de equipos permiten destinar actualizaciones a equipos específicos. Existen dos grupos de equipos
predeterminados: Todos los equipos y Equipos sin asignar. De manera predeterminada, cuando un equipo cliente
contacta inicialmente al servidor WSUS, éste último agrega dicho equipo cliente a cada uno de estos grupos.

Se pueden crear grupos de equipos personalizados. Una de las ventajas de crear grupos de equipos es que permiten
probar las actualizaciones antes de implementarlas ampliamente. Si la prueba resulta exitosa, se puede extender las
actualizaciones al grupo Todos los equipos. No existe un límite para el número de grupos personalizados que se
pueden crear.

Pregunta: ¿Cuáles son algunas de las ventajas de usar grupos de equipos en WSUS para implementar
actualizaciones?

Material de lectura adicional

Notas de la versión para Microsoft Windows Server Update Services 3.0


Aprobación de actualizaciones

Demostración: Administración de WSUS


Unidad
Laboratorio: Configuración del cumplimiento de seguridad del servidor

Laboratorio: Configuración del cumplimiento de seguridad del servidor

Objetivos

Configurar y analizar la seguridad usando el Asistente para configuración de seguridad (SCW).

Usar el Asistente para configuración y análisis de seguridad para analizar plantillas de seguridad.

Configurar Windows Server Update Services (WSUS).

Escenario

Al especialista en tecnología de Servicios de infraestructura de Windows se la ha asignado la tarea de configurar y


administrar el cumplimiento de la revisión de seguridad del servidor y del cliente. Se debe garantizar que los sistemas
cumplan con los estándares corporativos.
Ejercicio 1: Configuración y análisis de seguridad

Ejercicio 1: Configuración y análisis de seguridad

En este ejercicio, configurará y analizará la seguridad usando el Asistente para configuración de seguridad.

Las principales tareas se realizarán como se detalla a continuación:

1. Iniciar las máquinas virtuales y luego iniciar sesión.

2. Abrir el Asistente para configuración de seguridad en 6822A-NYC-SVR1 y usarlo para configurar la seguridad
para una función del servidor determinada.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión

1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y finalmente
haga clic en 6822A. Se inicia Iniciador de laboratorio.

2. En Iniciador de laboratorio, junto a 6822A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6822A-NYC-SVR1, haga clic en Iniciar.

4. En Iniciador de laboratorio, junto a 6822A-NYC-CL2, haga clic en Iniciar.

5. Inicie sesión en cada máquina virtual como Woodgrovebank\Administrador usando la contraseña Pa$$w0rd.

6. Minimice la ventana Iniciador de laboratorio.

Tarea 2: Abrir el Asistente para configuración de seguridad en NYC-SVR1

1. En NYC-SVR1, abra Asistente para la configuración de seguridad en el menú Herramientas administrativas.

2. En la página Este es el Asistente para configuración de seguridad, haga clic en Siguiente.

3. En la página Acciones de configuración, en Seleccione la acción que desea realizar, asegúrese de que
esté seleccionado Crear una nueva directiva de seguridad y luego haga clic en Siguiente.

4. En la página Seleccionar servidor, compruebe que el servidor especificado en el cuadro de texto Servidor
sea NYC-SVR1 y luego haga clic en Siguiente.

5. En la página Procesando la base de datos de configuración de seguridad, espere que se complete el


proceso y luego seleccione Ver base de datos de configuración.

6. Cuando se abre Visor de Asistente para configuración de seguridad (SCW), puede aparecer un cuadro de
mensaje de Microsoft Internet Explorer® solicitando permiso para permitir un control Active X. En este cuadro
de mensaje haga clic en Sí.

7. Desplácese y lea la lista de Funciones del Servidor, Características del cliente, Opciones de
Administración y otras, Servicios y Firewall de Windows.

8. Cierre Visor SCW y luego haga clic en Siguiente.

9. En las páginas Configuración del servicio basado en funciones, Seleccionar funciones del servidor,
Seleccionar características del cliente, Seleccionar administración y otras opciones y Seleccionar
servicios adicionales, acepte la configuración predeterminada y luego haga clic en Siguiente.

10. En la página Tratamientos de servicios sin especificar, asegúrese de que esté seleccionado No cambiar
el modo de inicio del servicio y luego haga clic en Siguiente.

11. En la página Confirmar cambios de servicio, desplácese por la lista y observe qué servidores se
deshabilitarán y luego haga clic en Siguiente.

12. En la página Seguridad de red, haga clic en Siguiente para comenzar a configurar la seguridad de red.

13. En la página Reglas de seguridad de red, desplácese por la lista de puertos que estará abierta y luego haga
clic en Siguiente.
14. En las páginas Configuración del Registro y Directiva de auditoria, seleccione Omitir esta sección y
luego haga clic en Siguiente.

15. En la página Guardar directiva de seguridad, haga clic en Siguiente.

16. En la página Nombre de archivo de directiva de seguridad, especifique el nombre


NuevoMiembroSVR.xml al final de ruta C:\Windows\Seguridad\msscw\Directivas mencionada y luego
haga clic en Siguiente.

17. En la página Aplicar directiva de seguridad, seleccione Aplicar ahora y luego haga clic en Siguiente.

18. Aparece la página Aplicar directiva de seguridad y el asistente prepara y aplica la directiva.

19. Cuando aparezca Aplicación completada en la barra de estado haga clic en Siguiente.

20. En la página Finalización del Asistente ara configuración de seguridad, haga clic en Finalizar.
Ejercicio 2: Análisis de Plantillas de seguridad

Ejercicio 2: Análisis de Plantillas de seguridad

En este ejercicio analizará las plantillas de seguridad.

Las principales tareas se realizarán como se detalla a continuación:

1. Crear una Microsoft Management Console (MMC) personalizada.

2. Analizar la configuración actual del equipo comparándola con la configuración de las plantillas seguras.

3. Configurar el equipo con la configuración de las plantillas seguras.

Tarea 1: Crear una Microsoft Management Console (MMC) personalizada

1. En NYC-SVR1, cree una MMC personalizada con los complementos Plantillas de seguridad y
Configuración y análisis de seguridad.

2. Usando Consola1 MMC que se creó en el paso anterior, cree una plantilla con el nombre Segura.

3. Expanda Directiva segura, expanda Directivas locales y luego selecciones Opciones de seguridad.

4. Haga doble clic en Inicio de sesión interactivo: no mostrar el último nombre de usuario.

5. Seleccione la casilla Definir esta directiva de configuración en la plantilla, haga clic en Habilitado y luego
en Aceptar.

6. Guarde la plantilla Segura.

7. Deje abierta Consola1 MMC para la siguiente tarea.

Tarea 2: Analizar la configuración actual comparándola con la configuración de las plantillas seguras

1. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego haga clic en Abrir base de datos.

2. En el cuadro de diálogo Abrir base de datos, escriba el nombre de archivo Seguro y luego haga clic en Abrir.

3. En el cuadro de diálogo Importar plantilla, seleccione plantilla Segura y luego haga clic en Abrir.

4. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego haga clic en Analizar el equipo ahora.

5. En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registro
predeterminado.

6. Una vez finalizado el análisis, en el panel de lista, expanda Configuración y análisis de seguridad, expanda
Directivas locales y luego seleccione Opciones de seguridad.

7. Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario y
compare el valor de la base de datos con la configuración del equipo. Debería ver una “x” roja en el elemento.
Esto indica que los valores de la configuración del equipo y los de la configuración de la base de datos son
diferentes.

8. Deje abierta Consola1 MMC para la siguiente tarea.

Tarea 3: Configurar el equipo con la configuración de las plantillas seguras

1. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y, luego, entre las opciones disponibles, seleccione Configurar el equipo ahora.

La plantilla se aplica en el equipo.

2. En el panel de la lista Consola1 MMC, haga clic con el botón secundario en Configuración y análisis de
seguridad y luego seleccione Analizar el equipo ahora.
3. En el cuadro de diálogo Realizar análisis, haga clic en Aceptar para aceptar el nombre de registro
predeterminado.

4. Una vez finalizado el análisis expanda Directivas locales y luego seleccione Opciones de seguridad.

5. Desplácese hacia abajo hasta Inicio de sesión interactivo: no mostrar el último nombre de usuario y
compruebe que aparezca la marca de verificación que indica que la configuración de la base de datos y del
equipo es la misma.

6. Cierre la ventana Consola1 MMC.


Ejercicio 3: Configuración de Windows Software Update Services

Ejercicio 3: Configuración de Windows Software Update Services

En este ejercicio configurará WSUS.

Las principales tareas se realizarán como se detalla a continuación:

1. Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio a fin de
configurar actualizaciones de cliente.

2. Usar la herramienta de administración WSUS para configurar las propiedades de WSUS.

3. Crear un grupo de equipos y agregar NYC-CL1 al nuevo grupo.

4. Aprobar una actualización para clientes de Windows Vista.

5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Usar la Consola de administración de directivas de grupo para crear y vincular un GPO al dominio para configurar
actualizaciones de clientes

1. En NYC-DC1, abra Administración de directivas de grupo en el menú Herramientas administrativas.

2. En el panel de la lista, haga clic con el botón secundario en WoodGroveBank.com, haga clic en Crear un
GPO en este dominio y vincularlo aquí y luego denomine WSUS al GPO.

3. Haga clic con el botón secundario en el vínculo del GPO WSUS, en WoodGroveBank.com y luego haga clic
en Editar.

4. En la ventana Editor de Administración de directivas de grupo, expanda Configuración del equipo, luego
Directivas, Plantillas administrativas y Componentes de Windows y finalmente haga clic en Actualización
de Windows.

5. En el panel de detalles, haga doble clic en Configurar actualizaciones automáticas.

6. En el cuadro de diálogo Propiedades de Configurar actualizaciones automáticas, en la ficha


Configuraciones, seleccione Habilitada. En la lista desplegable Configurar actualizaciones automáticas,
haga clic en 4 - Auto descargar y programe la instalación. Finalmente, haga clic en Valor siguiente.

7. En la página Especificar las propiedades de ubicación de Microsoft update en la intranet, en la ficha


Configuraciones, seleccione Habilitada. En Establecer el servicio de actualización de la intranet para
detectar actualizaciones y en Establecer el servidor de estadísticas de intranet, escriba http://NYC-SVR1
en los cuadros de texto y luego haga clic en Valor siguiente.

8. En la página Frecuencia de detección de actualizaciones automáticas, seleccione Habilitada y luego haga


clic en Aceptar.

9. Cierre Editor de Administración de directiva de grupo y luego la herramienta Administración de directiva


de grupo.

10. En NYC-CL2, abra un símbolo del sistema.

11. En el símbolo del sistema, escriba gpupdate /force y luego presione Entrar.

12. En el símbolo del sistema, escriba wuauclt/detectnow y luego presione Entrar.

13. Cierre la ventana de comandos en NYC-CL2.

Tarea 2: Usar la herramienta de administración WSUS para configurar las propiedades de WSUS

1. En NYC-SVR1, abra Microsoft Windows Server Update Services 3.0 SP1 en el menú Herramientas
administrativas.

2. En la ventana de la herramienta administrativa Update Services, en el panel de la lista de NYC-SVR1, haga clic
en Opciones.
3. Usando el Panel de detalles, visualice los valores de configuración disponibles en WSUS y haga clic en
Cancelar por cada elemento que se haya completado.

Tarea 3: Crear un grupo de equipos y agregar NYC-CL2 al nuevo grupo

1. En el panel de la lista, expanda Equipos y luego seleccione Todos los equipos.

2. En el panel Acciones, haga clic en Agregar grupo de equipos y nombre al grupo HO Equipos.

3. Cambie la pertenencia del objeto de equipo nyc-cl2.woodgrovebank.com para que forme parte del grupo HO
Equipos.

Tarea 4: Aprobar una actualización para clientes de Vista

1. En la herramienta administrativa Update Services, en el panel de la lista expanda Actualizaciones y luego haga
clic en Actualizaciones críticas.

2. En el panel de detalles, cambie los filtros Aprobación y Estado a Cualquiera y luego haga clic en Actualizar.
Observe todas las actualizaciones disponibles.

3. En el panel de detalles Actualizaciones críticas, haga clic con el botón secundario en Actualización para
Windows Vista (KB936357) y luego seleccione Aprobar en el menú contextual.

4. En la ventana Aprobar actualizaciones que aparece, haga clic en la flecha junto a Todos los equipos,
seleccione Aprobado para su instalación y luego haga clic en Aceptar.

5. En la página Progreso de aprobación, haga clic en Cerrar una vez que haya finalizado el proceso.

Nota: Observe que aparece un mensaje que indica que la actualización ha sido aprobada pero que debe descargarse
para finalizar.

6. En la consola Update Services, haga clic en Informes.

7. Vea los diversos informes de WSUS disponibles y determine cuántas actualizaciones requiere NYC-CL2.

Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual (VMRC).

2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.

3. Cierre 6822A Iniciador de laboratorio.


Revisión y conclusiones del módulo

Revisión y conclusiones del módulo

Preguntas de revisión

1. ¿Qué clase de desafíos podría experimentar una empresa mediana que no serían un problema grave para una
empresa más grande?

2. ¿Cuál es la ventaja de usar la herramienta Configuración y análisis de seguridad para comparar la configuración
de las plantillas con la configuración aplicada actualmente en el equipo?

3. Si decide aplicar una directiva de auditoría, ¿cómo debe configurar las propiedades del registro de seguridad
en Visor de eventos?

4. ¿Qué debe hacer un administrador antes de que se envíe una actualización a los clientes y servidores a través
de WSUS?

5. ¿Cuál es la razón del establecimiento de una fecha pasada como fecha límite para una instalación automática?

Procedimientos recomendados

Los pasos básicos para asegurar un sistema operativo son los mismos para cualquier sistema operativo que use.
Considere los siguientes procedimientos recomendados para asegurar un sistema operativo:

Instalar todas las revisiones del sistema operativo.

Comprobar la seguridad de cuenta de usuario.

Eliminar las aplicaciones y servicios de red innecesarios.

Instalar y configurar las aplicaciones y servicios de red necesarios.

Configurar el registro del sistema para que almacene los eventos importantes.

Mantener actualizadas las revisiones de las aplicaciones y del sistema operativo.